Fecha del reporte: 06 de sep 2010

Paquetes afectados: quagga

Más información: Varias vulnerabilidades remotas han sido descubiertas en la aplicación de BGP Quagga, un demonio de enrutamiento.

El proyecto "Common Vulnerabilities and Exposures" identifica los siguientes problemas:

• CVE-2010-2948: Cuando es procesado un mensaje de "Route Refresh", creado manualmente, por configuración autentificación BGP vecino, Quagga puede bloquearse; lo que llevaría a una denegación de servicio.
• CVE-2010-2949: Cuando se procesan ciertas rutas "AS" realizadas manualmente, Quagga se bloquearía con una referencia de puntero a NULL, dando lugar a una denegación de servicio.
  En algunas configuraciones, las rutas 'AS' realizadas de esta forma podrían ser transmitidas por routers BGP

Además, esta actualización contiene una fiabilidad de errores: Quagga ya no anunciara rutas "AS" fuera de los limites de su confederación, y rechazara las rutas "AS" inesperadas de su propia confederación, reiniciando la sesion con el router BGP que las publicó. (Anteriormente, las rutas "AS" podrían lanzar un restablecimiento de sesiones BGP no vinculadas)

Para la distribución estable (lenny), este problema ha sido corregido en la versión 0.99.10-1lenny3

Para la distribución inestable (sid) y testing (squeeze ) ha sido corregido en la versión 0.99.17-1.

Le recomendamos actualizar el paquete quagga

Original (en inglés): http://www.debian.org/security/2010/dsa-2104