Разработчики пакета свободного программного обеспечения для маршрутизации Quagga выпустили обновление Quagga 1.2.3 с исправлением нескольких опасных уязвимостей, которые могут привести к отказу в обслуживании (DoS), раскрытию информации и удаленному выполнению кода. Проблемы затрагивают BGP-демон (bpgd) Quagga.
Разработчики пакета свободного программного обеспечения для маршрутизации Quagga выпустили обновление Quagga 1.2.3 с исправлением нескольких опасных уязвимостей, которые могут привести к отказу в обслуживании (DoS), раскрытию информации и удаленному выполнению кода. Проблемы затрагивают BGP-демон (bpgd) Quagga.
Одной из наиболее серьезных уязвимостей является CVE-2018-5379 - проблема двойного освобождения области памяти, связанная с обработкой определенных сообщений UPDATE, содержащих список кластеров или неизвестные атрибуты. Уязвимость может привести к сбою bgpd и позволить удаленному злоумышленнику получить контроль над процессом и удаленно выполнить код.
Другая уязвимость CVE-2018-5381 может привести к бесконечной перезагрузке bgpd и отказу в обслуживании.
В Quagga 1.2.3 также исправлена уязвимость CVE-2018-5378, которая может привести к утечке конфиденциальных данных из процесса bgpd, а также вызвать отказ в обслуживании.
Вы должны войти