Debians sikkerhedsbulletin

DSA-4115-1 quagga -- sikkerhedsopdatering

Rapporteret den:
15. feb 2018
Berørte pakker:
quagga
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2018-5378, CVE-2018-5379, CVE-2018-5380, CVE-2018-5381.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Quagga, en routingdæmon. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2018-5378

    Man opdagede at Quaggas BGP-dæmon, bgpd, ikke på korrekt vis kontrollerede grænser på data sendt med en NOTIFY til en peer, hvis en attributlængde er ugyldig. En opsat BGP-peer kunne drage nytte af fejlen til at læse hukommelse fra bgpd-processen eller forårsage et lammelsesangreb (dæmonnedbrud).

    https://www.quagga.net/security/Quagga-2018-0543.txt

  • CVE-2018-5379

    Man opdagede at Quaggas BGP-dæmon, bgpd, kunne dobbelt-frigive hukommelse når der blev behandlet visse former for UPDATE-meddelelser, indeholdende cluster-list og/eller ukendte attributter, medførende et lammelsesangreb (nedbrud i bgpd-dæmonen).

    https://www.quagga.net/security/Quagga-2018-1114.txt

  • CVE-2018-5380

    Man opdagede at Quaggas BGP-dæmon, bgpd, ikke på korrekt vis håndterede BGP's interne konverteringstabeller fra kode til streng.

    https://www.quagga.net/security/Quagga-2018-1550.txt

  • CVE-2018-5381

    Man opdagede at Quaggas BGP-dæmon, bgpd, kunne gå i en uendelig løkke, hvis den modtog en ugyldig OPEN-meddelelse fra en opsat peer. En opsat peer kunne drage nytte af fejlen til at forårsage et lammelsesangreb (bgpd-dæmonen svarer ikke på nogen andre events; BGP-sessioner mistes og kan ikke genetableres; CLI-grænseflade svarer ikke).

    https://www.quagga.net/security/Quagga-2018-1975.txt

I den gamle stabile distribution (jessie), er disse problemer rettet i version 0.99.23.1-1+deb8u5.

I den stabile distribution (stretch), er disse problemer rettet i version 1.1.1-3+deb9u2.

Vi anbefaler at du opgraderer dine quagga-pakker.

For detaljeret sikkerhedsstatus vedrørende quagga, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/quagga