URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 113581
[ Назад ]
Исходное сообщение
"Обновление Quagga 1.2.3 с устранением уязвимостей в реализац..."
Отправлено opennews , 16-Фев-18 11:53 
Опубликован (http://savannah.nongnu.org/forum/forum.php?forum_id=9095) релиз пакета Quagga 1.2.3, предоставляющего реализации протоколов маршрутизации OSPFv2, OSPFv3, RIP v1/v2, RIPng и BGP-4 для Unix-подобных систем. В новой версии устранено 4 уязвимости (https://www.kb.cert.org/vuls/id/940439) в bgpd, в том числе проблема (https://gogs.quagga.net/Quagga/quagga/src/master/doc/securit...) (CVE-2018-5379) с двойным освобождением области памяти (double-free) при обработке сообщений UPDATE, в том числе отправленных не напрямую и доставленных через легитимного пира.


Не исключается, что уязвимость может быть эксплуатирована для удалённого выполнения кода атакующего при использовании определённых реализаций malloc.  Остальные проблемы могут быть использованы для инициирования (https://gogs.quagga.net/Quagga/quagga/src/master/doc/securit...) краха (https://gogs.quagga.net/Quagga/quagga/src/master/doc/securit...) (CVE-2018-5378, CVE-2018-5380) или зацикливания (https://gogs.quagga.net/Quagga/quagga/src/master/doc/securit...) (CVE-2018-5381).


URL: http://seclists.org/oss-sec/2018/q1/159
Новость: http://www.opennet.me/opennews/art.shtml?num=48085

Содержание
Сообщения в этом обсуждении
"Обновление Quagga 1.2.3 с устранением уязвимостей в реализац..."
Отправлено denmatv94 , 16-Фев-18 11:53 
Квагга, это ведь зебра была такая, если не ошибаюсь. Истреблена человеком, как сайгак, или кулан
"Обновление Quagga 1.2.3 с устранением уязвимостей в реализац..."
Отправлено Аноним , 16-Фев-18 12:21 
> Квагга, это ведь зебра была такая, если не ошибаюсь. Истреблена человеком, как
> сайгак, или кулан

Ну в этой зебре тоже дырок достаточно

"Обновление Quagga 1.2.3 с устранением уязвимостей в реализац..."
Отправлено zanswer CCNA RS and S , 16-Фев-18 19:36 
Была, а Quagga была истреблена FRRouting, так и живём.
"Обновление Quagga 1.2.3 с устранением уязвимостей в реализац..."
Отправлено Аноним , 17-Фев-18 17:53 
А но открытом софте подобие dmvpn собрать можно?
"Обновление Quagga 1.2.3 с устранением уязвимостей в реализац..."
Отправлено zanswer CCNA RS and S , 18-Фев-18 07:26 
Существует реализация DMVPN для Linux, но, я не знаю, какую из Phase они реализовали.
"Обновление Quagga 1.2.3 с устранением уязвимостей в реализац..."
Отправлено _ , 16-Фев-18 21:42 
Сайгаков в Казахстане всё ещё есть.
Хотя поуменьшилось безусловно. Инспектора то мзду берут и за державу им пох ....
"Обновление Quagga 1.2.3 с устранением уязвимостей в реализац..."
Отправлено Ю.Т. , 17-Фев-18 07:45 
Какая используемость у этого пакета? Это ведь для больших узлов?
"Обновление Quagga 1.2.3 с устранением уязвимостей в реализац..."
Отправлено zanswer CCNA RS and S , 17-Фев-18 09:43 
Это для любых узлов, которым необходимо использовать протоколы динамической маршрутизации.
"Обновление Quagga 1.2.3 с устранением уязвимостей в реализац..."
Отправлено McDaemon , 17-Фев-18 22:53 
Использую OSPF от Quagga, пришло обновление пересобрал порт, ospf падает с сигналом 6.
Живой роутер, экспериментировать некогда, откатил Quagga на 1.2.2, стартует и работает. Мелочь, а осадочек остался.