Vulnerability Bulletins

int(2399)

Vulnerability Bulletins

Múltiples vulnerabilidades en Quagga
Vulnerability classification
Property	Value
Confidence level	Oficial
Impact	Integridad
Dificulty	Principiante
Required attacker level	Acceso remoto sin cuenta a un servicio estandar
System information
Property	Value
Affected manufacturer	GNU/Linux
Affected software	Quagga 0.98, 0.99 < 20060504 Zebra
Description
Se han descubierto múltiples vulnerabilidades en Quagga 0.98 y 0.99 versiones anteriores a 20060504. Las vulnerabilidades son descritas a continuación: - CVE-2006-2223: La vulnerabilidad reside en que RIPd no aplica de forma correcta la configuración "disable RIPv1" ni "require plaintext / MD5 authentication". Un atacante remoto podría obtener información sobre el estado de enrutado mediante paquetes REQUEST como SEND UPDATE. - CVE-2006-2224: La vulnerabilidad reside en que RIPd no maneja adecuadamente los requisitos de autenticación RIPv2. Un atacante remoto podría modificar el estado de enrutado (routing state) mediante paquetes RIPv1 RESPONSE. - CVE-2006-2276: La vulnerabilidad reside en un error no especificado en "bgpd". Un atacante local podría causar una denegación de servicio mediante ciertos comandos "sh" "ip" "bgp" que podrían ser introducidos en la interfaz Telnet. - CVE-2006-2288: La vulnerabilidad reside en un error no especificado relacionado con el manejo de DNS. Un atacante local podría causar una denegación de servicio mediante conflictos de nombre mDNS.
Solution
Actualización de software Debian Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2.dsc http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2.diff.gz http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/q/quagga/quagga-doc_0.98.3-7.2_all.deb Alpha http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_alpha.deb AMD64 http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_amd64.deb ARM http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_arm.deb Intel IA-32 http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_i386.deb Intel IA-64 http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_ia64.deb HP Precision http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_hppa.deb Motorola 680x0 http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_m68k.deb Big endian MIPS http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_mips.deb Little endian MIPS http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_mipsel.deb PowerPC http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_powerpc.deb IBM S/390 http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_s390.deb Sun Sparc http://security.debian.org/pool/updates/main/q/quagga/quagga_0.98.3-7.2_sparc.deb Red Hat Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ Red Hat (Zebra) Red Hat Enterprise Linux AS (v. 2.1) Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor https://rhn.redhat.com/ SGI Advanced Linux Environment 3 / RPM / Patch 10314 ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS Advanced Linux Environment 3 / SRPM / Patch 10314 ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux
Standar resources
Property	Value
CVE	CVE-2006-2223 CVE-2006-2224 CVE-2006-2276
BID	17808 17979
Other resources
Debian Security Advisory (DSA 1059-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00144.html Red Hat Security Advisory (RHSA-2006:0525-5) https://rhn.redhat.com/errata/RHSA-2006-0525.html Red Hat Security Advisory (RHSA-2006:0533-4) https://rhn.redhat.com/errata/RHSA-2006-0533.html SGI Security Advisory (20060602-01-U) ftp://patches.sgi.com/support/free/security/advisories/20060602-01-U.asc SUSE Security Advisory (SUSE-SR:2006:017) http://www.novell.com/linux/security/advisories/2006_17_sr.html

Version history
Version	Comments	Date
1.0	Aviso emitido	2006-05-22
1.1	Avisos emitidos por Red Hat (RHSA-2006:0525-5, RHSA-2006:0533-4)	2006-06-02
1.2	Aviso emitido por SGI (20060602-01-U)	2006-06-23
1.3	Aviso emitido por Suse (SUSE-SR:2006:017)	2006-07-24

Vulnerability Bulletins

Múltiples vulnerabilidades en Quagga

Vulnerability classification

System information

Description

Solution

Standar resources

Other resources

Version history