quagga-0.99.15-14.AXS4

エラータID: AXSA:2017-1369:01

リリース日: 
2017/03/22 Wednesday - 22:08
題名: 
quagga-0.99.15-14.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Quagga の OSPFD API (ospf_api.c) の new_msg_lsa_change_notify 関数に
は,--enable-opaque-lsa と -a コマンドラインオプションが使用されている場合,
スタックベースのバッファーオーバーフローが存在し,大きい LSA によって,リ
モートの攻撃者がサービス拒否 (クラッシュ) を引き起こす脆弱性があります。
(CVE-2013-2236)

- Quagga の zebra デーモンには,IPv6 の近隣ディスカバリメッセージを処理し
ている際に,スタックベースのバッファーオーバーフローを引き起こす脆弱性があ
ります。(CVE-2016-1245)

- Quagga の bgpd の VPNv4 NLRI パーサの bgp_mplsvpn.c の bgp_nlri_parse_vpnv4 
関数には,ある VPNv4 設定が使用されている場合,データコピーの間,ラベル付き
VPN SAFI ルートデータ長のフィールドを信頼し,巧妙に細工されたパケットによって,
リモートの攻撃者が任意のコードを実行する,あるいはサービス拒否 (スタック
ベースのバッファーオーバーフロー) を引き起こす脆弱性があります。
(CVE-2016-2342)

- Quagga の bgpd/bgp_dump.c の bgp_dump_routes_func 関数には,
データをダンプする際に,サイズのチェックを行っておらず,大きな BGP パ
ケットによって,リモートの攻撃者がサービス拒否 (アサーションの失敗と
デーモンのクラッシュ) を引き起こす脆弱性があります。(CVE-2016-4049)

- Quagga には,telnet 'vty' CLI の unbounded メモリアロケーションに問題
があり、Quagga デーモンあるいはシステム全体に、サービス拒否を引き起こす脆
弱性があります。(CVE-2017-5495)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. quagga-0.99.15-14.AXS4.src.rpm
    MD5: d4b53402f52d111a4da860f0942a1dc0
    SHA-256: 4782075542329d4e57a4e9c3d354286e6fdc2153bdf9c8241b3be4139f54c89b
    Size: 2.16 MB

Asianux Server 4 for x86
  1. quagga-0.99.15-14.AXS4.i686.rpm
    MD5: cd91494c4da5e55ba9fa425908f086f0
    SHA-256: 9b761fb9ff38c718d76f65c03a84642112e80d1e1d83c21a2c413c277da6d85c
    Size: 1.04 MB

Asianux Server 4 for x86_64
  1. quagga-0.99.15-14.AXS4.x86_64.rpm
    MD5: b9c3ead7fc62d747c509f883f6d48a4d
    SHA-256: 3b3efe896714367bb5035f09fc23a489d8d617837374b52f5c43e82a5ed12ba4
    Size: 1.06 MB