Säkerhetsbulletin från Debian
DSA-3532-1 quagga -- säkerhetsuppdatering
- Rapporterat den:
- 2016-03-27
- Berörda paket:
- quagga
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 819179.
I Mitres CVE-förteckning: CVE-2016-2342. - Ytterligare information:
-
Kostya Kortchinsky upptäckte en stackbaserad buffertspillssårbarhet i VPNv4 NLRI-tolken i bgpd i quagga, en BGP/OSPF/RIP-routingdemon. En fjärrangripare kan exploatera denna brist för att orsaka en överbelastning (demonkrasch), eller potentiellt körning av godtycklig kod om bgpd är konfigurerad med BGP-peers aktiverade för VPNv4.
För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 0.99.22.4-1+wheezy2.
För den stabila utgåvan (Jessie) har detta problem rättats i version 0.99.23.1-1+deb8u1.
Vi rekommenderar att ni uppgraderar era quagga-paket.