Bulletin d'alerte Debian
DSA-2104-1 quagga -- Plusieurs vulnérabilités
- Date du rapport :
- 6 septembre 2010
- Paquets concernés :
- quagga
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 594262.
Dans le dictionnaire CVE du Mitre : CVE-2010-2948, CVE-2010-2949. - Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans l'implémentation BGP de Quagga, un démon de routage.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2010-2948
Lors du traitement d'un message
Route Refresh
contrefait reçu d'un voisin BGP configuré et authentifié, Quagga peut planter, menant à un déni de service. - CVE-2010-2949
Lors du traitement de certains chemins de système autonome (
AS paths
), Quagga pourrait planter avec un déréférencement de pointeur NULL, menant à un déni de service. Dans certaines configurations, de tels chemins de système autonome pourraient être relayés par des routeurs BGP intermédiaires.
De plus, cette mise à jour contient un correctif de fiabilité : Quagga n'avertira plus les chemins de système autonome relatifs aux confédérations aux pairs n'en faisant pas partie, et rejettera les chemins inattendus de système autonome relatifs aux confédérations en réinitialisant la session avec le pair BGP qui les a annoncés (auparavant, de tels chemins de système autonome auraient déclenché des réinitialisations de session avec des BGP indépendants).
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 0.99.10-1lenny3.
Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ces problèmes ont été corrigés dans la version 0.99.17-1.
Nous vous recommandons de mettre à jour votre paquet quagga.
- CVE-2010-2948
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.dsc
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/q/quagga/quagga-doc_0.99.10-1lenny3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.