Debian セキュリティ勧告
DSA-2104-1 quagga -- 複数の脆弱性
- 報告日時:
- 2010-09-06
- 影響を受けるパッケージ:
- quagga
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 594262.
Mitre の CVE 辞書: CVE-2010-2948, CVE-2010-2949. - 詳細:
-
ラウティングデーモン Quagga の BGP 実装に、リモートから攻撃可能な複 数の問題が発見されました。
The Common Vulnerabilities and Exposures project は以下の問題を認識 しています。
- CVE-2010-2948
設定され、認証済みの BGP ネイバーから細工されたルート更新メ ッセージを受信処理で Quagga がクラッシュするため、サービス拒 否攻撃が可能です。
- CVE-2010-2949
ある種の細工された AS パス処理で Quagga が NULL ポインタ参照 でクラッシュするため、サービス拒否攻撃が可能です。設定によっ てはこの細工された AS パスが中間の BGP ルータにリレーされる 可能性があります。
さらに、今回の更新には信頼性に関連した修正が加えられています。Quagga はコンフェデレーション関係の AS パスをコンフェデレーションに関係しな いパスにアドパタイズしないようになり、同時に期待しないコンフェデレー ション関連の AS パスのアドパタイズを、送付してきた BGP ピアとの間の セッションをリセットすることにより拒否するようになりました (以前は、 そのような AS パスが無関係の BGP セッションのリセットを招いていました)。
安定版 (stable) ディストリビューション (lenny) では、これらの問題は バージョン 0.99.10-1lenny3 で修正されています。
テスト版 (testing) および不安定版 (unstable) ディストリビューション (squeeze および sid) では、これらの問題はバージョン 0.99.17-1 で修 正されています。
直ぐに quagga パッケージをアップグレードすることを勧めます。
- CVE-2010-2948
- 修正:
-
Debian GNU/Linux 5.0 (lenny)
- ソース:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.dsc
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/q/quagga/quagga-doc_0.99.10-1lenny3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。