• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4115-1 quagga -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4115-1 quagga -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В Quagga, службе маршрутизации, было обнаружено несколько
уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:

CVE-2018-5378
    Было обнаружено, что BGP-служба Quagga, bgpd, неправильно выполняет проверку
    границ данных, отправленных с NOTIFY узлу, в случае когда
    длина атрибута неправильна. Настроенный BGP-узел может использовать
    эту ошибку для чтения содержимого памяти процесса bgpd или вызова
    отказа в обслуживании (аварийная остановка службы).
    https://www.quagga.net/security/Quagga-2018-0543.txthttps://www.quagga.net/security/Quagga-2018-0543.txt">https://www.quagga.net/security/Quagga-2018-0543.txt /> CVE-2018-5379
    Было обнаружено, что BGP-служба Quagga, bgpd, может дважды освободить память
    в случае обработки определённых видов сообщения UPDATE, содержащих
    атрибут cluster-list и/или неизвестные атрибуты, что приводит к отказу в
    обслуживании (аварийная остановка службы bgpd).
    https://www.quagga.net/security/Quagga-2018-1114.txthttps://www.quagga.net/security/Quagga-2018-1114.txt">https://www.quagga.net/security/Quagga-2018-1114.txt /> CVE-2018-5380
    Было обнаружено, что BGP-служба Quagga, bgpd, неправильно
    обрабатывает внутренние таблицы преобразования кода BGP в строки.
    https://www.quagga.net/security/Quagga-2018-1550.txthttps://www.quagga.net/security/Quagga-2018-1550.txt">https://www.quagga.net/security/Quagga-2018-1550.txt /> CVE-2018-5381
    Было обнаружено, что BGP-службы Quagga, bgpd, может входить в
    бесконечный цикл в случае отправки неправильного сообщения OPEN от настроенного узла.
    Настроенный узел может использовать эту уязвимость для вызова отказа
    в обслуживании (служба bgpd не отвечает на какие-либо другие события; BGP-сессии
    будут сброшены и не будут установлены повторно; CLI-интерфейс
    не реагирует на действия пользователя).
    https://www.quagga.net/security/Quagga-2018-1975.txthttps://www.quagga.net/security/Quagga-2018-1975.txt">https://www.quagga.net/security/Quagga-2018-1975.txt />
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 0.99.23.1-1+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1.1.1-3+deb9u2.
Рекомендуется обновить пакеты quagga.
С подробным статусом поддержки безопасности quagga можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/quagga">https://security-tracker.debian.org/tracker/quagga">https://security-tracker.debian.org/tracker/quagga
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
quagga - 1.1.1-3+deb9u2
quagga-bgpd - 1.1.1-3+deb9u2
quagga-core - 1.1.1-3+deb9u2
quagga-doc - 1.1.1-3+deb9u2
quagga-isisd - 1.1.1-3+deb9u2
quagga-ospf6d - 1.1.1-3+deb9u2
quagga-ospfd - 1.1.1-3+deb9u2
quagga-pimd - 1.1.1-3+deb9u2
quagga-ripd - 1.1.1-3+deb9u2
quagga-ripngd - 1.1.1-3+deb9u2
Debian GNU/Linux 8:
noarch:
quagga - 0.99.23.1-1+deb8u5
quagga-dbg - 0.99.23.1-1+deb8u5
quagga-doc - 0.99.23.1-1+deb8u5
Ссылки
http://www.debian.org/security/dsa-4115/

Источник: CVE
Наименование: CVE-2018-5379
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5379

Источник: CVE
Наименование: CVE-2018-5378
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5378

Источник: CVE
Наименование: CVE-2018-5380
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5380

Источник: CVE
Наименование: CVE-2018-5381
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5381