Рекомендация Debian по безопасности

DSA-4115-1 quagga -- обновление безопасности

Дата сообщения:
15.02.2018
Затронутые пакеты:
quagga
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2018-5378, CVE-2018-5379, CVE-2018-5380, CVE-2018-5381.
Более подробная информация:

В Quagga, службе маршрутизации, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2018-5378

    Было обнаружено, что BGP-служба Quagga, bgpd, неправильно выполняет проверку границ данных, отправленных с NOTIFY узлу, в случае когда длина атрибута неправильна. Настроенный BGP-узел может использовать эту ошибку для чтения содержимого памяти процесса bgpd или вызова отказа в обслуживании (аварийная остановка службы).

    https://www.quagga.net/security/Quagga-2018-0543.txt

  • CVE-2018-5379

    Было обнаружено, что BGP-служба Quagga, bgpd, может дважды освободить память в случае обработки определённых видов сообщения UPDATE, содержащих атрибут cluster-list и/или неизвестные атрибуты, что приводит к отказу в обслуживании (аварийная остановка службы bgpd).

    https://www.quagga.net/security/Quagga-2018-1114.txt

  • CVE-2018-5380

    Было обнаружено, что BGP-служба Quagga, bgpd, неправильно обрабатывает внутренние таблицы преобразования кода BGP в строки.

    https://www.quagga.net/security/Quagga-2018-1550.txt

  • CVE-2018-5381

    Было обнаружено, что BGP-службы Quagga, bgpd, может входить в бесконечный цикл в случае отправки неправильного сообщения OPEN от настроенного узла. Настроенный узел может использовать эту уязвимость для вызова отказа в обслуживании (служба bgpd не отвечает на какие-либо другие события; BGP-сессии будут сброшены и не будут установлены повторно; CLI-интерфейс не реагирует на действия пользователя).

    https://www.quagga.net/security/Quagga-2018-1975.txt

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 0.99.23.1-1+deb8u5.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1.1.1-3+deb9u2.

Рекомендуется обновить пакеты quagga.

С подробным статусом поддержки безопасности quagga можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/quagga