Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Quagga <= 0.99.22.2 Debian Linux <= 6.0.7 Squeeze Debian Linux <= 7.2 Wheezy Betroffene Plattformen: Debian Linux UNIX Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um die Anwendung zum Absturz zu bringen (Denial-of-Service). Patch: Debian Security Advisory DSA-2803 http://www.debian.org/security/2013/dsa-2803

CVE-2013-6051: Schwachstelle im BGP Dienst Quagga

In Quagga ab Version 0.99.20.1 werden BGP-Updates nicht sicher behandelt und
ein entsprechend aufgebautes, gültiges BGP-Update kann den Dienst zum
Absturz bringen. Ein entfernter Angreifer kann diese Schwachstelle
ausnutzen, um die Anwendung zum Absturz zu bringen (Denial-of-Service).

CVE-2013-2236: Schwachstelle in Quagga

In Quagga werden Link State Advertisements unsicher behandelt. In der
Funktion new_msg_lsa_change_notify() der OSPFD API (ospf_api.c) kann, wenn
die Kommandozeilenoptionen ‘–enable-opaque-lsa’ und ‘-a’ verwendet wurden,
ein Pufferüberlauf auf dem Stack ausgelöst werden. Ein entfernter Angreifer
kann diese Schwachstelle mit einem hinreichend großen Link State
Advertisement ausnutzen, um den Dienst zum Absturz zu bringen
(Denial-of-Service).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1987/

Debian Security Advisory DSA-2803:
http://www.debian.org/security/2013/dsa-2803

Schwachstelle CVE-2013-2236 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2236

Schwachstelle CVE-2013-6051 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6051

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.