Säkerhetsbulletin från Debian
DSA-2104-1 quagga -- flera sårbarheter
- Rapporterat den:
- 2010-09-06
- Berörda paket:
- quagga
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 594262.
I Mitres CVE-förteckning: CVE-2010-2948, CVE-2010-2949. - Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i BGP-implementeringen av Quagga, en routningsserver.
Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2010-2948
Vid behandling av ett specialskrivet Route Refresh-meddelande som kommer från en konfigurerad, autentiserad BGP-granne, kan Quagga krascha, vilket leder till överbelastning.
- CVE-2010-2949
Vid behandling av särsklida specialskrivna AS-vägar, kan Quagga krascha med en nullpekaravreferering, vilket leder till överbelastning. I vissa konfigurationer kan sådana specialskrivna AS-vägar föras vidare av mellanliggande BGP-routrar.
Dessutom innehåller denna uppdatering en pålitlighetsrättelse: Quagga kommer inte längre berätta om konfederationsrelaterade AS:ar till icke-konfederationspunkter, och kommer avvisa oväntade konfederationsrelaterade AS-vägar genom att återställa sessionen med den BGP-punkt som berättar om dem. (Tidigare kunde sådana AS-vägar göra att icke-relaterade BGP-sessioner nollställdes.)
För den stabila utgåvan (Lenny) har dessa problem rättats i version 0.99.10-1lenny3.
För den instabila utgåvan (Sid) och uttestningsutgåvan (Squeeze) har dessa problem rättats i version 0.99.17-1.
Vi rekommenderar att ni uppgraderar ert quagga-paket.
- CVE-2010-2948
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.dsc
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/q/quagga/quagga-doc_0.99.10-1lenny3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.