Amazon Linux AMI : quagga (ALAS-2018-957)
critical Nessus Plugin ID 106934
語系:
概要
遠端 Amazon Linux AMI 主機缺少一個安全性更新。說明
無效 OPEN 訊息所觸發的無限迴圈問題允許拒絕服務。在 Quagga 中發現一個無限迴圈弱點。BGP 對等可傳送將造成精靈進入無限迴圈的特製封包,進而拒絕服務並耗用 CPU,直到其重新啟動為止。(CVE-2018-5381) bgpd 的重複釋放弱點在處理特定形式的 UPDATE 訊息時,會造成損毀或可能執行任意程式碼。在 Quagga 中發現一個雙重釋放弱點。BGP 對等可傳送特製 UPDATE 訊息,造成配置的記憶體區塊 free()d 多次,進而可能導致當機或其他問題。(CVE-2018-5379) bgpd 可使內部 BGP 程式碼到字串轉換表格溢位,進而可能導致當機。在 Quagga 的記錄格式化程式碼中發現一個弱點。BGP 對等傳送的特製訊息可造成 Quagga 讀取特定靜態陣列的結尾之後的一個元素,進而造成任意二進位資料出現在記錄中,或可能導致當機。(CVE-2018-5380)解決方案
執行「yum update quagga」以更新系統。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 106934
檔案名稱: ala_ALAS-2018-957.nasl
版本: 3.7
類型: local
代理程式: unix
已發布: 2018/2/22
已更新: 2022/12/6
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 7.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
風險因素: Critical
基本分數: 9.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
弱點資訊
CPE: p-cpe:/a:amazon:linux:quagga, p-cpe:/a:amazon:linux:quagga-contrib, p-cpe:/a:amazon:linux:quagga-debuginfo, p-cpe:/a:amazon:linux:quagga-devel, cpe:/o:amazon:linux
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
修補程式發佈日期: 2018/2/20
弱點發布日期: 2018/2/19
參考資訊
CVE: CVE-2018-5379, CVE-2018-5380, CVE-2018-5381
ALAS: 2018-957