Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
quagga
(any)
quagga-bgpd
(any)
quagga-core
(any)
quagga-dbg
(any)
quagga-doc
(any)
quagga-isisd
(any)
quagga-ospf6d
(any)
quagga-ospfd
(any)
quagga-pimd
(any)
quagga-ripd
(any)
quagga-ripngd
(any)
Описание
В Quagga, службе маршрутизации, было обнаружено несколько
уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:
CVE-2018-5378
Было обнаружено, что BGP-служба Quagga, bgpd, неправильно выполняет проверку
границ данных, отправленных с NOTIFY узлу, в случае когда
длина атрибута неправильна. Настроенный BGP-узел может использовать
эту ошибку для чтения содержимого памяти процесса bgpd или вызова
отказа в обслуживании (аварийная остановка службы).
https://www.quagga.net/security/Quagga-2018-0543.txt
https://www.quagga.net/security/Quagga-2018-0543.txt">https://www.quagga.net/security/Quagga-2018-0543.txt
/> CVE-2018-5379
Было обнаружено, что BGP-служба Quagga, bgpd, может дважды освободить память
в случае обработки определённых видов сообщения UPDATE, содержащих
атрибут cluster-list и/или неизвестные атрибуты, что приводит к отказу в
обслуживании (аварийная остановка службы bgpd).
https://www.quagga.net/security/Quagga-2018-1114.txt
https://www.quagga.net/security/Quagga-2018-1114.txt">https://www.quagga.net/security/Quagga-2018-1114.txt
/> CVE-2018-5380
Было обнаружено, что BGP-служба Quagga, bgpd, неправильно
обрабатывает внутренние таблицы преобразования кода BGP в строки.
https://www.quagga.net/security/Quagga-2018-1550.txt
https://www.quagga.net/security/Quagga-2018-1550.txt">https://www.quagga.net/security/Quagga-2018-1550.txt
/> CVE-2018-5381
Было обнаружено, что BGP-службы Quagga, bgpd, может входить в
бесконечный цикл в случае отправки неправильного сообщения OPEN от настроенного узла.
Настроенный узел может использовать эту уязвимость для вызова отказа
в обслуживании (служба bgpd не отвечает на какие-либо другие события; BGP-сессии
будут сброшены и не будут установлены повторно; CLI-интерфейс
не реагирует на действия пользователя).
https://www.quagga.net/security/Quagga-2018-1975.txt
https://www.quagga.net/security/Quagga-2018-1975.txt">https://www.quagga.net/security/Quagga-2018-1975.txt
/>
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 0.99.23.1-1+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1.1.1-3+deb9u2.
Рекомендуется обновить пакеты quagga.
С подробным статусом поддержки безопасности quagga можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/quagga">https://security-tracker.debian.org/tracker/quagga">https://security-tracker.debian.org/tracker/quagga
уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:
CVE-2018-5378
Было обнаружено, что BGP-служба Quagga, bgpd, неправильно выполняет проверку
границ данных, отправленных с NOTIFY узлу, в случае когда
длина атрибута неправильна. Настроенный BGP-узел может использовать
эту ошибку для чтения содержимого памяти процесса bgpd или вызова
отказа в обслуживании (аварийная остановка службы).
https://www.quagga.net/security/Quagga-2018-0543.txt
https://www.quagga.net/security/Quagga-2018-0543.txt">https://www.quagga.net/security/Quagga-2018-0543.txt
/> CVE-2018-5379
Было обнаружено, что BGP-служба Quagga, bgpd, может дважды освободить память
в случае обработки определённых видов сообщения UPDATE, содержащих
атрибут cluster-list и/или неизвестные атрибуты, что приводит к отказу в
обслуживании (аварийная остановка службы bgpd).
https://www.quagga.net/security/Quagga-2018-1114.txt
https://www.quagga.net/security/Quagga-2018-1114.txt">https://www.quagga.net/security/Quagga-2018-1114.txt
/> CVE-2018-5380
Было обнаружено, что BGP-служба Quagga, bgpd, неправильно
обрабатывает внутренние таблицы преобразования кода BGP в строки.
https://www.quagga.net/security/Quagga-2018-1550.txt
https://www.quagga.net/security/Quagga-2018-1550.txt">https://www.quagga.net/security/Quagga-2018-1550.txt
/> CVE-2018-5381
Было обнаружено, что BGP-службы Quagga, bgpd, может входить в
бесконечный цикл в случае отправки неправильного сообщения OPEN от настроенного узла.
Настроенный узел может использовать эту уязвимость для вызова отказа
в обслуживании (служба bgpd не отвечает на какие-либо другие события; BGP-сессии
будут сброшены и не будут установлены повторно; CLI-интерфейс
не реагирует на действия пользователя).
https://www.quagga.net/security/Quagga-2018-1975.txt
https://www.quagga.net/security/Quagga-2018-1975.txt">https://www.quagga.net/security/Quagga-2018-1975.txt
/>
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 0.99.23.1-1+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1.1.1-3+deb9u2.
Рекомендуется обновить пакеты quagga.
С подробным статусом поддержки безопасности quagga можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/quagga">https://security-tracker.debian.org/tracker/quagga">https://security-tracker.debian.org/tracker/quagga
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
quagga - 1.1.1-3+deb9u2
quagga-bgpd - 1.1.1-3+deb9u2
quagga-core - 1.1.1-3+deb9u2
quagga-doc - 1.1.1-3+deb9u2
quagga-isisd - 1.1.1-3+deb9u2
quagga-ospf6d - 1.1.1-3+deb9u2
quagga-ospfd - 1.1.1-3+deb9u2
quagga-pimd - 1.1.1-3+deb9u2
quagga-ripd - 1.1.1-3+deb9u2
quagga-ripngd - 1.1.1-3+deb9u2
Debian GNU/Linux 8:
noarch:
quagga - 0.99.23.1-1+deb8u5
quagga-dbg - 0.99.23.1-1+deb8u5
quagga-doc - 0.99.23.1-1+deb8u5
Debian GNU/Linux 9:
noarch:
quagga - 1.1.1-3+deb9u2
quagga-bgpd - 1.1.1-3+deb9u2
quagga-core - 1.1.1-3+deb9u2
quagga-doc - 1.1.1-3+deb9u2
quagga-isisd - 1.1.1-3+deb9u2
quagga-ospf6d - 1.1.1-3+deb9u2
quagga-ospfd - 1.1.1-3+deb9u2
quagga-pimd - 1.1.1-3+deb9u2
quagga-ripd - 1.1.1-3+deb9u2
quagga-ripngd - 1.1.1-3+deb9u2
Debian GNU/Linux 8:
noarch:
quagga - 0.99.23.1-1+deb8u5
quagga-dbg - 0.99.23.1-1+deb8u5
quagga-doc - 0.99.23.1-1+deb8u5
Ссылки
http://www.debian.org/security/dsa-4115/
Источник: CVE
Наименование: CVE-2018-5379
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5379
Источник: CVE
Наименование: CVE-2018-5378
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5378
Источник: CVE
Наименование: CVE-2018-5380
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5380
Источник: CVE
Наименование: CVE-2018-5381
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5381
Источник: CVE
Наименование: CVE-2018-5379
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5379
Источник: CVE
Наименование: CVE-2018-5378
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5378
Источник: CVE
Наименование: CVE-2018-5380
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5380
Источник: CVE
Наименование: CVE-2018-5381
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5381