Bulletin d'alerte Debian
DLA-1286-1 quagga -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 16 février 2018
- Paquets concernés :
- quagga
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2018-5379, CVE-2018-5380, CVE-2018-5381.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Quagga, un démon de routage. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2018-5378
Le démon BGP de Quagga, bgpd, ne vérifie pas correctement les limites des données envoyées avec un « NOTIFY » à un pair, si une longueur d'attribut n'est pas valable. Un pair BGP configuré peut tirer avantage de ce bogue pour lire la mémoire du processus bgpd ou provoquer un déni de service (plantage du démon).
- CVE-2018-5379
Le démon BGP de Quagga, bgpd, peut procéder à une double libération de zone de mémoire lors du traitement de certaine formes de message « UPDATE », contenant des attributs « cluster-list » ou inconnus, avec pour conséquence, un déni de service (plantage du démon bgpd).
- CVE-2018-5380
Le démon BGP de Quagga, bgpd, ne gère pas correctement les tables de conversion, internes à BGP, de codes en chaînes de caractères.
- CVE-2018-5381
Le démon BGP de Quagga, bgpd, peut entrer dans une boucle infinie lors de l'envoi d'un message OPEN non valable par un pair configuré. Un pair configuré peut tirer avantage de ce défaut pour provoquer un déni de service (le démon bgpd ne répond à aucun autre événement ; les sessions BGP abandonnent et ne sont pas rétablies ; l'interface en ligne de commande ne répond pas).
Pour Debian 7
Wheezy
, ces problèmes ont été corrigés dans la version 0.99.22.4-1+wheezy3+deb7u3.Nous vous recommandons de mettre à jour vos paquets quagga.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2018-5378