Säkerhetsbulletin från Debian

DSA-4115-1 quagga -- säkerhetsuppdatering

Rapporterat den:
2018-02-15
Berörda paket:
quagga
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2018-5378, CVE-2018-5379, CVE-2018-5380, CVE-2018-5381.
Ytterligare information:

Flera sårbarheter har upptäckts i routingdemonen Quagga. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2018-5378

    Man har upptäckt att Quaggas BGP-demon, bgpd, inte kontrollerar begränsningar på data som skickats med NOTIFY till en klient ordentligt, om dess attributlängd är ogitligt. En konfigurerad BGP-klient kan dra fördel av detta fel för att läsa minne från bgpd-processen eller orsaka en överbelastning (applikationskrasch).

    https://www.quagga.net/security/Quagga-2018-0543.txt

  • CVE-2018-5379

    Man har upptäckt att Quaggas BGP-demon, bgpd, kan befria minne två gånger vid behandling av vissa former av UPDATE-meddelanden, som innehåler cluster-lista och/eller okända attribut, vilket resulterar i överbelastning (krasch av bgpd-demonen).

    https://www.quagga.net/security/Quagga-2018-1114.txt

  • CVE-2018-5380

    Man har upptäckt att Quagga-BGP-demonen, bgpd, inte hanterar interna BGP kod-till-sträng-konverteringstabeller.

    https://www.quagga.net/security/Quagga-2018-1550.txt

  • CVE-2018-5381

    Man har upptäckt att Quagga BGP-demonen, bgpd, kan gå in i en oändlig loop om den skickas ett ogiltigt OPEN-meddelande av en konfigurerad klient. En konfigurerad klient kan dra fördel av denna brist för att orsaka en överbelastning (bgpd-demonen svarar inte på andra händelser; BGP-sessioner kommer att kopplas ifrån och inte återanslutas; icke-responsivt kommandoradsgränssnitt).

    https://www.quagga.net/security/Quagga-2018-1975.txt

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 0.99.23.1-1+deb8u5.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1.1.1-3+deb9u2.

Vi rekommenderar att ni uppgraderar era quagga-paket.

För detaljerad säkerhetsstatus om quagga vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/quagga