Обновление Quagga 1.2.3 с устранением уязвимостей в реализации BGP
Опубликован релиз пакета Quagga 1.2.3, предоставляющего реализации протоколов маршрутизации OSPFv2, OSPFv3, RIP v1/v2, RIPng и BGP-4 для Unix-подобных систем. В новой версии устранено 4 уязвимости в bgpd, в том числе проблема (CVE-2018–5379) с двойным освобождением области памяти (double-free) при обработке сообщений UPDATE, в том числе отправленных не напрямую и доставленных через легитимного пира. Не исключается, что уязвимость может быть эксплуатирована для удалённого выполнения кода атакующего при использовании определённых реализаций malloc. Остальные проблемы могут быть использованы для инициирования краха (CVE-2018–5378, CVE-2018–5380) или зацикливания (CVE-2018–5381).
© OpenNet
