Boletines de Vulnerabilidades

int(2399)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Quagga
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Integridad
Dificultad	Principiante
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio estandar
Información sobre el sistema
Propiedad	Valor
Fabricant afectat	GNU/Linux
Software afectado	Quagga 0.98, 0.99 < 20060504 Zebra
Descripción
Se han descubierto múltiples vulnerabilidades en Quagga 0.98 y 0.99 versiones anteriores a 20060504. Las vulnerabilidades son descritas a continuación: - CVE-2006-2223: La vulnerabilidad reside en que RIPd no aplica de forma correcta la configuración "disable RIPv1" ni "require plaintext / MD5 authentication". Un atacante remoto podría obtener información sobre el estado de enrutado mediante paquetes REQUEST como SEND UPDATE. - CVE-2006-2224: La vulnerabilidad reside en que RIPd no maneja adecuadamente los requisitos de autenticación RIPv2. Un atacante remoto podría modificar el estado de enrutado (routing state) mediante paquetes RIPv1 RESPONSE. - CVE-2006-2276: La vulnerabilidad reside en un error no especificado en "bgpd". Un atacante local podría causar una denegación de servicio mediante ciertos comandos "sh" "ip" "bgp" que podrían ser introducidos en la interfaz Telnet. - CVE-2006-2288: La vulnerabilidad reside en un error no especificado relacionado con el manejo de DNS. Un atacante local podría causar una denegación de servicio mediante conflictos de nombre mDNS.
Solución
Actualización de software Debian Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2.dsc http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2.diff.gz http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/q/quagga/quagga-doc_0.98.3-7.2_all.deb Alpha http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_alpha.deb AMD64 http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_amd64.deb ARM http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_arm.deb Intel IA-32 http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_i386.deb Intel IA-64 http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_ia64.deb HP Precision http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_hppa.deb Motorola 680x0 http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_m68k.deb Big endian MIPS http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_mips.deb Little endian MIPS http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_mipsel.deb PowerPC http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_powerpc.deb IBM S/390 http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_s390.deb Sun Sparc http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_sparc.deb Red Hat Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ Red Hat (Zebra) Red Hat Enterprise Linux AS (v. 2.1) Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor https://rhn.redhat.com/ SGI Advanced Linux Environment 3 / RPM / Patch 10314 ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS Advanced Linux Environment 3 / SRPM / Patch 10314 ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux
Identificadores estándar
Propiedad	Valor
CVE	CVE-2006-2223 CVE-2006-2224 CVE-2006-2276
BID	17808 17979
Recursos adicionales
Debian Security Advisory (DSA 1059-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00144.html Red Hat Security Advisory (RHSA-2006:0525-5) https://rhn.redhat.com/errata/RHSA-2006-0525.html Red Hat Security Advisory (RHSA-2006:0533-4) https://rhn.redhat.com/errata/RHSA-2006-0533.html SGI Security Advisory (20060602-01-U) ftp://patches.sgi.com/support/free/security/advisories/20060602-01-U.asc SUSE Security Advisory (SUSE-SR:2006:017) http://www.novell.com/linux/security/advisories/2006_17_sr.html

Histórico de versiones
Versión	Comentario	Data
1.0	Aviso emitido	2006-05-22
1.1	Avisos emitidos por Red Hat (RHSA-2006:0525-5, RHSA-2006:0533-4)	2006-06-02
1.2	Aviso emitido por SGI (20060602-01-U)	2006-06-23
1.3	Aviso emitido por Suse (SUSE-SR:2006:017)	2006-07-24

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Quagga

Clasificación de la vulnerabilidad

Información sobre el sistema

Descripción

Solución

Identificadores estándar

Recursos adicionales

Histórico de versiones