Информация по безопасности / 2011 / Информация о безопасности -- DSA-2197-1 quagga

Рекомендация Debian по безопасности

DSA-2197-1 quagga -- отказ в обслуживании

Дата сообщения:

21.03.2011

Затронутые пакеты:

quagga

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2010-1674, CVE-2010-1675.

Более подробная информация:

Было обнаружено, что Quagga, служба маршрутизации, содержит два отказа в обслуживании в реализации BGP:

• CVE-2010-1674

  Специально сформированный атрибут Extended Communities вызывает разыменование NULL-указателя, что приводит к аварийной остановке службы BGP. Специально сформированные атрибуты не передаются Internet-ядром, поэтому эту уязвимость при обычных настройках могут использовать лишь явно настроенные равные узлы.

• CVE-2010-1675

  Служба BGP сбрасывает BGP-сессии, если встречаются некорректные атрибуты AS_PATHLIMIT, что приводит к сбросу распределённой BGP-сессии и нарушает передачу пакетов. Такие некорректные атрибуты передаются Internet-ядром, а использование этой уязвимости не ограничивается только явно настроенными равными BGP-узлами.

В данном обновлении безопасности удалён код для обработки AS_PATHLIMIT из реализации BGP, но параметры настройки сохранены с целью обеспечения обратной совместимости. (Стандартизации этого расширения BGP была заброшена долгое время назад.)

В предыдущем стабильном выпуске (lenny) эти проблемы были исправлены в версии 0.99.10-1lenny5.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.99.17-2+squeeze2.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты quagga.