int(5464)

Boletines de Vulnerabilidades


Denegación de servicio en Quagga

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Quagga

Descripción

Se han encontrado múltiples vulnerabilidades en Quagga. Las vulnerabilidades son descritas a continuación:

- CVE-2010-2948: La vulnerabilidad reside en un error al procesar mensajes Route Refresh desde un vecino BGP autenticado y configurado.

- CVE-2010-2949: La vulnerabilidad reside al procesar ciertos paths AS manipulados, lo que provoca una referencia a un puntero nulo.

Solución



Actualización de software

Debian (DSA 2104-1)

Debian Linux 5.0
Source
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10.orig.tar.gz
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.diff.gz
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3.dsc
independent packages:
http://security.debian.org/pool/updates/main/q/quagga/quagga-doc_0.99.10-1lenny3_all.deb
alpha (DEC Alpha)
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_alpha.deb
amd64 (AMD x86_64 (AMD64))
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_amd64.deb
arm (ARM)
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_arm.deb
armel (ARM EABI)
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_armel.deb
hppa (HP PA RISC)
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_hppa.deb
i386 (Intel ia32)
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_i386.deb
ia64 (Intel ia64)
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_ia64.deb
mips (MIPS (Big Endian))
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mips.deb
mipsel (MIPS (Little Endian))
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_mipsel.deb
powerpc (PowerPC)
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_powerpc.deb
s390 (IBM S/390)
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_s390.deb
sparc (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/q/quagga/quagga_0.99.10-1lenny3_sparc.deb

Red Hat (RHSA-2010:0785-1)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux Desktop (v. 4)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 4)
Red Hat Enterprise Linux (v. 4)


https://rhn.redhat.com

Identificadores estándar

Propiedad Valor
CVE CVE-2010-2948
CVE-2010-2949
BID

Recursos adicionales

Debian Security Advisory (DSA 2104-1)
http://lists.debian.org/debian-security-announce/2010/msg00150.html

Red Hat Security Advisory (RHSA-2010:0785-1)
https://rhn.redhat.com/errata/RHSA-2010-0785.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2010-09-07
1.1 Aviso actualizado por Red Hat 2010-10-22

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT