Debian セキュリティ勧告

DSA-2104-1 quagga -- 複数の脆弱性

報告日時:
2010-09-06
影響を受けるパッケージ:
quagga
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 594262.
Mitre の CVE 辞書: CVE-2010-2948, CVE-2010-2949.
詳細:

ラウティングデーモン Quagga の BGP 実装に、リモートから攻撃可能な複 数の問題が発見されました。

The Common Vulnerabilities and Exposures project は以下の問題を認識 しています。

  • CVE-2010-2948

    設定され、認証済みの BGP ネイバーから細工されたルート更新メ ッセージを受信処理で Quagga がクラッシュするため、サービス拒 否攻撃が可能です。

  • CVE-2010-2949

    ある種の細工された AS パス処理で Quagga が NULL ポインタ参照 でクラッシュするため、サービス拒否攻撃が可能です。設定によっ てはこの細工された AS パスが中間の BGP ルータにリレーされる 可能性があります。

さらに、今回の更新には信頼性に関連した修正が加えられています。Quagga はコンフェデレーション関係の AS パスをコンフェデレーションに関係しな いパスにアドパタイズしないようになり、同時に期待しないコンフェデレー ション関連の AS パスのアドパタイズを、送付してきた BGP ピアとの間の セッションをリセットすることにより拒否するようになりました (以前は、 そのような AS パスが無関係の BGP セッションのリセットを招いていました)。

安定版 (stable) ディストリビューション (lenny) では、これらの問題は バージョン 0.99.10-1lenny3 で修正されています。

テスト版 (testing) および不安定版 (unstable) ディストリビューション (squeeze および sid) では、これらの問題はバージョン 0.99.17-1 で修 正されています。

直ぐに quagga パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10.orig.tar.gz
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.dsc
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/q/quagga/quagga-doc_0.99.10-1lenny3_all.deb
Alpha:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。