Рекомендация Debian по безопасности
DSA-2104-1 quagga -- несколько уязвимостей
- Дата сообщения:
- 06.09.2010
- Затронутые пакеты:
- quagga
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 594262.
В каталоге Mitre CVE: CVE-2010-2948, CVE-2010-2949. - Более подробная информация:
-
В BGP-реализации Quagga, службы маршрутизации, было обнаружено несколько удалённых уязвимостей.
Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2010-2948
При обработке специально сформированного сообщения Route Refresh, полученного от настроенного аутентифицированного соседнего BGP-узла, работа Quagga может быть завершена аварийно, что приводит к отказу в обслуживании.
- CVE-2010-2949
При обработке определённых специально сформированных AS-путей работа Quagga может быть аварийно завершена с разыменованием NULL-указателя, что приводит к отказу в обслуживании. При некоторых настройках такие специально сформированные AS-пути могут быть ретранслированы промежуточными BGP-маршрутизаторами.
Кроме того, данное обновление содержит исправление надёжности: Quagga более не рассылает связанные с конфедерацией AS-пути узлам, не входящим в конфедерацию, и отклоняет неожиданные связанные с конфедерацией AS-пути путём перенастройки сессии с BGP-узлом, рассылающим такие пути. (Ранее такие AS-пути приводили к сбросу несвязанных BGP-сессий.)
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 0.99.10-1lenny3.
В нестабильном (sid) и тестируемом (squeeze) выпусках эти проблемы были исправлены в версии 0.99.17-1.
Рекомендуется обновить пакет quagga.
- CVE-2010-2948
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.dsc
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/q/quagga/quagga-doc_0.99.10-1lenny3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.