DFN-CERT

Advisory-Archiv

2018-0320: Quagga: Mehrere Schwachstellen ermöglichen u.a. einen Distributed-Denial-of-Service-Angriff

Historie:

Version 1 (2018-02-16 13:32)
Neues Advisory
Version 2 (2018-02-19 17:15)
Für openSUSE Leap 42.3 steht ein Backport-Sicherheitsupdate des Pakets 'quagga' in Version 1.1.1 bereit, um diese Schwachstellen zu beheben.
Version 3 (2018-02-23 19:11)
Für Fedora 26 und 27 stehen Backport-Sicherheitsupdates in Form von 'quagga-1.2.2-2'-Paketen im Status 'testing' zur Behebung der genannten Schwachstellen mit Ausnahme von CVE-2017-16227 zur Verfügung. Diese Schwachstelle wurde bereits in einem früheren Update für Quagga behoben.

Betroffene Software

Entwicklung

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Die Schwachstelle CVE-2018-5379 ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Distributed-Denial-of-Service (DDoS)-Angriffes sowie möglicherweise die Kontrolle der attackierten Quagga-Prozesse. Mehrere weitere Schwachstellen ermöglichen dem Angreifer die Durchführung weiterer Denial-of-Service (DoS)-Angriffe.

Quagga stuft die Schwachstelle CVE-2018-5379 als kritisch ein und stellt das offizielle Release in der Version 1.2.3 zur Behebung der Schwachstellen zur Verfügung.

Für Debian Jessie (oldstable) 8.10, Debian Stretch (stable) 9.3 sowie für Ubuntu 17.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS stehen Backport-Sicherheitsupdates für das Paket 'quagga' bereit. Für Ubuntu 17.10 steht zusätzlich das Paket 'quagga-bgpd' zur Behebung der Schwachstelle CVE-2018-5378 bereit; diese betrifft nicht Ubuntu 16.04 LTS und 14.04 LTS.

Für SUSE OpenStack Cloud 6 und die SUSE Linux Enterprise Produktvarianten Debuginfo 11 SP3 und 11 SP4, Software Development Kit 11 SP4, Server 11 SP3 LTSS, 11 SP4, 12 LTSS und 12 SP1 LTSS sowie für Server for SAP 12 SP1 stehen ebenfalls Sicherheitsupdates für 'quagga' bereit. Für die genannten SUSE Produkte werden zusätzlich die Schwachstellen CVE-2017-5495 und CVE-2017-16227 adressiert, welche einem entfernten, nicht authentisierten Angreifer die Durchführung weiterer Denial-of-Service-Angriffe ermöglichen. Diese Schwachstellen wurden bereits mit den früheren Quagga Versionen 1.1.1 bzw. 1.2.2 behoben.

Für SUSE Linux Enterprise Software Development Kit 12 SP2 und 12 SP3, Server for Raspberry Pi 12 SP2 sowie Server 12 SP2 und 12 SP3 stehen Sicherheitsupdates bereit, welche auch die Schwachstelle CVE-2017-16227 adressieren.

Schwachstellen:

CVE-2017-16227

Schwachstelle in Quagga ermöglicht Denial-of-Service-Angriff

CVE-2018-5378

Schwachstelle in Quagga ermöglicht u.a. Ausspähen von Informationen

CVE-2018-5379

Schwachstelle in Quagga ermöglicht Denial-of-Service-Angriff und Ausführen beliebigen Programmcodes

CVE-2018-5380

Schwachstelle in Quagga ermöglicht möglicherweise Denial-of-Service-Angriff

CVE-2018-5381

Schwachstelle in Quagga ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.