int(3938)

Boletines de Vulnerabilidades


Múltiples denegaciones de servicio en GNU Zebra y Quagga en Sun Solaris 10

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado UNIX
Software afectado GNU Zebra
Quagga < 0.99.9
Quagga <= 0.98.6
Sun Solaris 10

Descripción

Se han descubierto múltiples vulnerabilidades en GNU Zebra y Quagga en Sun Solaris 10. Las vulnerabilidades son descritas a continuación:

- CVE-2007-4826: Se ha descubierto una vulnerabilidad en Quagga en versiones anteriores a la 0.99.9. La vulnerabilidad reside en un error al manejar mensajes y atributos del demonio bgpd. Un atacante local podría causar una denegación de servicio mediante el envío de un mensaje "OPEN" o el atributo "COMMUNITY" especialmente diseñado.

- CVE-2007-1995: Se ha descubierto una vulnerabilidad en Quagga 0.99.6 y anteriores, y en Quagga 0.98.6 y anteriores. La vulnerabilidad reside en un error en la comprobación de los límites en los atributos BGP del demonio bgpd. Un atacante remoto podría causar una denegación de servicio mediante el envío de un mensaje "UPDATE" especialmente diseñado.

Solución



Actualización de software

Sun (236141)
Solaris 10 / SPARC / patch 126206-04
Solaris 10 / x86 / patch 126207-04
http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage

Red Hat (RHSA-2010:0785-1)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux Desktop (v. 4)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 4)
Red Hat Enterprise Linux (v. 4)

https://rhn.redhat.com

Identificadores estándar

Propiedad Valor
CVE CVE-2007-4826
CVE-2007-1995
BID 25634
23417

Recursos adicionales

Sun Alert Notification (236141)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-236141-1
Red Hat Security Advisory (RHSA-2010:0785-1)
https://rhn.redhat.com/errata/RHSA-2010-0785.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2008-04-15
1.1 Aviso emitido Red Hat 2010-10-22

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT