S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 25 août 2010
N° CERTA-2010-AVI-402
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Quagga

Gestion du document

Référence CERTA-2010-AVI-402
Titre Vulnérabilités dans Quagga
Date de la première version25 août 2010
Date de la dernière version25 août 2010
Source(s) Notes de mise à jour de <SPAN class="textit">Quagga</SPAN> du 19 août 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

Serveur Quagga versions inférieures à 0.99.17.

Résumé

Des vulnérabilités dans le démon BGP de la suite Quagga permettent à un attaquant de réaliser un déni de service et d'exécuter du code arbitraire à distance.

Description

Une erreur de déréférencement de pointeur NULL peut être exploitée pour terminer l'exécution du démon BGP en envoyant une requête de mise à jour spécialement constituée. Une deuxième erreur, dans le traitement des messages Route-Refresh peut déclencher un débordement de tampon sur le tas via un enregistrement ORF envoyé par un poste déjà configuré. Une exploitation de ce débordement peut mener à une exécution de code arbitraire à distance

Solution

La version 0.99.17 de Quagga contient la version corrigée du démon BGP.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 25 août 2010
    version initiale.