在路由程序 Quagga 中發現數個弱點。Common Vulnerabilities and Exposures 專案發現下列問題：- CVE-2018-5378 發現如果屬性長度無效時，Quagga BGP 程序 bgpd 未正確針對使用 NOTIFY 傳送到對等端的資料進行邊界檢查。設定的 BGP 對等端可利用此錯誤讀取 bgpd 處理程序的記憶體，或是造成拒絕服務 (程序損毀)。https://www.quagga.net/security/Quagga-2018-0543.txt - CVE-2018-5379 發現在處理含有叢集清單和/或未知屬性的特定形式 UPDATE 訊息時，Quagga BGP 程序 bgpd 會雙重釋放記憶體，因而造成拒絕服務 (bgpd 程序損毀)。https://www.quagga.net/security/Quagga-2018-1114.txt - CVE-2018-5380 發現 Quagga BGP 程序 bgpd 未正確處理內部 BGP 程式碼與字串轉換表格。https://www.quagga.net/security/Quagga-2018-1550.txt - CVE-2018-5381 發現如果設定的對等端重新傳送無效的 OPEN 訊息時，Quagga BGP 程序 bgpd 會進入無限迴圈。設定的對等端可利用此缺陷，造成拒絕服務 (bgpd 程序不回應任何事件；BGP 工作階段將會捨棄且不再重建；無回應的 CLI 介面)。https://www.quagga.net/security/Quagga-2018-1975.txt

偵測

Debian DSA-4115-1：quagga - 安全性更新

critical Nessus Plugin ID 106854

版本 3.7