DFN-CERT-2017-1929 Quagga: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian]

DFN-CERT-2017-1929 Quagga: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Quagga < 1.2.2 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Canonical Ubuntu Linux 17.10 Debian Linux 8.9 Jessie Debian Linux 9.2 Stretch Ein entfernter, nicht authentisierter Angreifer kann über speziell präparierte 'BGP UPDATE'-Nachrichten einen Denial-of-Service-Angriff auf Quagga ausführen. Die Schwachstelle wurde vom Hersteller mit Quagga 1.2.2 behoben. Debian stellt für die Distributionen Jessie (oldstable) und Stretch (stable) Backport-Sicherheitsupdates zur Behebung der Schwachstelle bereit. Die Schwachstelle wird von Canonical auch mit Backport-Sicherheitsupdates für die aktuell unterstützten Distributionen Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 behoben. Für Ubuntu 14.04 LTS und 16.04 LTS wird zusätzlich die Denial-of-Service-Schwachstelle CVE-2017-5495 adressiert, von der die beiden neueren Distributionen nicht betroffen sind. Patch: Debian Security Advisory DSA-4011-1 https://www.debian.org/security/2017/dsa-4011

Patch:

Quagga 1.2.2 Changelog

https://mirror.netcologne.de/savannah/quagga/quagga-1.2.2.changelog.txt

Patch:

Ubuntu Security Notice USN-3471-1

http://www.ubuntu.com/usn/usn-3471-1/

CVE-2017-16227: Schwachstelle in Quagga ermöglicht Denial-of-Service-Angriff

Die Funktion ‘aspath_put’ innerhalb von ‘bgpd/bgp_aspath.c’ in Quagga vor
Version 1.2.2 zählt bei Berechnung der Größe von ‘AS_PATH’ bestimmte Bytes
doppelt, so dass fehlerhafte Nachrichten erstellt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1929/

Schwachstelle CVE-2017-5495 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5495

Debian Security Advisory DSA-4011-1:
https://www.debian.org/security/2017/dsa-4011

Quagga 1.2.2 Changelog:
https://mirror.netcologne.de/savannah/quagga/quagga-1.2.2.changelog.txt

Ubuntu Security Notice USN-3471-1:
http://www.ubuntu.com/usn/usn-3471-1/

Schwachstelle CVE-2017-16227 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16227

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben