Aviso de seguridad de Debian

DSA-4115-1 quagga -- actualización de seguridad

Fecha del informe:
15 de feb de 2018
Paquetes afectados:
quagga
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2018-5378, CVE-2018-5379, CVE-2018-5380, CVE-2018-5381.
Información adicional:

Se han descubierto varias vulnerabilidades en Quagga, un demonio de enrutamiento. El proyecto «Vulnerabilidades y exposiciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:

  • CVE-2018-5378

    Se descubrió que el demonio BGP de Quagga, bgpd, no comprueba correctamente los límites de los datos enviados a un par con un NOTIFY si la longitud de un atributo es inválida. Un par BGP configurado puede aprovechar este defecto para leer memoria del proceso bgpd o para causar denegación de servicio (caída del demonio).

    https://www.quagga.net/security/Quagga-2018-0543.txt

  • CVE-2018-5379

    Se descubrió que el demonio BGP de Quagga, bgpd, puede hacer una doble liberación de memoria al procesar ciertas formas de mensajes UPDATE que contengan atributos «cluster-list» y/o desconocidos, dando lugar a denegación de servicio (caída del demonio bgpd).

    https://www.quagga.net/security/Quagga-2018-1114.txt

  • CVE-2018-5380

    Se descubrió que el demonio BGP de Quagga, bgpd, no gestiona correctamente las tablas de conversión de código a cadena de caracteres («code-to-string») internas de BGP.

    https://www.quagga.net/security/Quagga-2018-1550.txt

  • CVE-2018-5381

    Se descubrió que el demonio BGP de Quagga, bgpd, puede entrar en un bucle infinito si un par configurado le envía un mensaje OPEN inválido. Un par configurado puede aprovechar este defecto para provocar denegación de servicio (el demonio bgpd no responde a ningún otro evento; caen las sesiones BGP y no son restablecidas posteriormente; la interfaz CLI deja de responder).

    https://www.quagga.net/security/Quagga-2018-1975.txt

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 0.99.23.1-1+deb8u5.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1.1.1-3+deb9u2.

Le recomendamos que actualice los paquetes de quagga.

Para información detallada sobre el estado de seguridad de quagga consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/quagga