Bulletin d'alerte Debian

DSA-4115-1 quagga -- Mise à jour de sécurité

Date du rapport :
15 février 2018
Paquets concernés :
quagga
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-5378, CVE-2018-5379, CVE-2018-5380, CVE-2018-5381.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Quagga, un démon de routage. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2018-5378

    Le démon BGP de Quagga, bgpd, ne vérifie pas correctement les limites des données envoyées avec un « NOTIFY » à un pair, si une longueur d'attribut n'est pas valable. Un pair BGP configuré peut tirer avantage de ce bogue pour lire la mémoire du processus bgpd ou provoquer un déni de service (plantage du démon).

    https://www.quagga.net/security/Quagga-2018-0543.txt

  • CVE-2018-5379

    Le démon BGP de Quagga, bgpd, peut procéder à une double libération de zone de mémoire lors du traitement de certaine formes de message « UPDATE », contenant des attributs « cluster-list » ou inconnus, avec pour conséquence, un déni de service (plantage du démon bgpd).

    https://www.quagga.net/security/Quagga-2018-1114.txt

  • CVE-2018-5380

    Le démon BGP de Quagga, bgpd, ne gère pas correctement les tables de conversion, internes à BGP, de codes en chaînes de caractères.

    https://www.quagga.net/security/Quagga-2018-1550.txt

  • CVE-2018-5381

    Le démon BGP de Quagga, bgpd, peut entrer dans une boucle infinie lors de l'envoi d'un message « OPEN » non valable par un pair configuré. Un pair configuré peut tirer avantage de ce défaut pour provoquer un déni de service (le démon bgpd ne répond à aucun autre événement ; les sessions BGP abandonnent et ne sont pas rétablies ; l'interface en ligne de commande ne répond pas).

    https://www.quagga.net/security/Quagga-2018-1975.txt

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 0.99.23.1-1+deb8u5.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.1.1-3+deb9u2.

Nous vous recommandons de mettre à jour vos paquets quagga.

Pour disposer d'un état détaillé sur la sécurité de quagga, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/quagga