在路由程序 Quagga 中發現數個弱點。Common Vulnerabilities and Exposures 專案發現下列問題：CVE-2018-5378 發現如果屬性長度無效時，Quagga BGP 程序 bgpd 未正確針對使用 NOTIFY 傳送到對等端的資料進行邊界檢查。設定的 BGP 對等端可利用此錯誤讀取 bgpd 處理程序的記憶體，或是造成拒絕服務 (程序損毀)。https://www.quagga.net/security/Quagga-2018-0543.txt CVE-2018-5379 發現在處理含有叢集清單和/或未知屬性的特定形式 UPDATE 訊息時，Quagga BGP 程序 bgpd 會雙重釋放記憶體，因而造成拒絕服務 (bgpd 程序損毀)。https://www.quagga.net/security/Quagga-2018-1114.txt CVE-2018-5380 發現 Quagga BGP 程序 bgpd 未正確處理內部 BGP 程式碼與字串轉換表格。https://www.quagga.net/security/Quagga-2018-1550.txt CVE-2018-5381 發現如果設定的對等端重新傳送無效的 OPEN 訊息時，Quagga BGP 程序 bgpd 會進入無限迴圈。設定的對等端可利用此缺陷，造成拒絕服務 (bgpd 程序不回應任何事件；BGP 工作階段將會捨棄且不再重建；無回應的 CLI 介面)。https://www.quagga.net/security/Quagga-2018-1975.txt 針對 Debian 7「Wheezy」，這些問題已在 0.99.22.4-1+wheezy3+deb7u3 版本中修正。建議您升級 quagga 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-1286-1：quagga 安全性更新

critical Nessus Plugin ID 106873

版本 3.10