DebianDSA-4115-1：quagga - セキュリティ更新

critical Nessus プラグイン ID 106854

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

ルーティングデーモンであるQuaggaに、複数の脆弱性が発見されました。Common Vulnerabilities and Exposuresプロジェクトでは、次の問題を特定しています：

- CVE-2018-5378Quagga BGPデーモンであるbgpdが、属性の長さが無効な場合、NOTIFYを使用してピアに送信されたデータを適切に境界チェックしていないことがわかりました。構成済みのBGPピアがこのバグを利用して、bgpdプロセスからメモリを読み取ったり、サービス拒否（デーモンクラッシュ）を引き起こしたりする可能性があります。

https://www.quagga.net/security/Quagga-2018-0543.txt

- CVE-2018-5379Quagga BGPデーモンであるbgpdが、cluster-listや不明な属性を含む特定の形式のUPDATEメッセージを処理するときにメモリを二重解放し、サービス拒否（bgpdデーモンのクラッシュ）を引き起こす可能性があることがわかりました。

https://www.quagga.net/security/Quagga-2018-1114.txt

- CVE-2018-5380Quagga BGPデーモンであるbgpdが、内部BGP code-to-string変換テーブルを適切に処理していないことがわかりました。

https://www.quagga.net/security/Quagga-2018-1550.txt

- CVE-2018-5381構成されたピアによって無効なOPENメッセージが送信されると、Quagga BGPデーモンであるbgpdが無限ループに陥る可能性があることがわかりました。構成されたピアがこの欠陥を利用して、サービス拒否を引き起こす可能性があります（bgpdデーモンが他のイベントに応答しません。BGPセッションがドロップされ再確立されません。）
CLIインターフェイスが応答しません）。

https://www.quagga.net/security/Quagga-2018-1975.txt

ソリューション

quaggaパッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（jessie）では、これらの問題はバージョン0.99.23.1-1+deb8u5で修正されています。

安定版（stable）ディストリビューション（stretch）では、これらの問題はバージョン1.1.1-3+deb9u2で修正されています。