Рекомендация Debian по безопасности

DSA-2104-1 quagga -- несколько уязвимостей

Дата сообщения:
06.09.2010
Затронутые пакеты:
quagga
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 594262.
В каталоге Mitre CVE: CVE-2010-2948, CVE-2010-2949.
Более подробная информация:

В BGP-реализации Quagga, службы маршрутизации, было обнаружено несколько удалённых уязвимостей.

Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2010-2948

    При обработке специально сформированного сообщения Route Refresh, полученного от настроенного аутентифицированного соседнего BGP-узла, работа Quagga может быть завершена аварийно, что приводит к отказу в обслуживании.

  • CVE-2010-2949

    При обработке определённых специально сформированных AS-путей работа Quagga может быть аварийно завершена с разыменованием NULL-указателя, что приводит к отказу в обслуживании. При некоторых настройках такие специально сформированные AS-пути могут быть ретранслированы промежуточными BGP-маршрутизаторами.

Кроме того, данное обновление содержит исправление надёжности: Quagga более не рассылает связанные с конфедерацией AS-пути узлам, не входящим в конфедерацию, и отклоняет неожиданные связанные с конфедерацией AS-пути путём перенастройки сессии с BGP-узлом, рассылающим такие пути. (Ранее такие AS-пути приводили к сбросу несвязанных BGP-сессий.)

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 0.99.10-1lenny3.

В нестабильном (sid) и тестируемом (squeeze) выпусках эти проблемы были исправлены в версии 0.99.17-1.

Рекомендуется обновить пакет quagga.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10.orig.tar.gz
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/q/quagga/quagga-doc_0.99.10-1lenny3_all.deb
Alpha:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.