Размещено: Сегодня, 09:24
Опубликован релиз пакета Quagga 1.2.3, предоставляющего реализации протоколов маршрутизации OSPFv2, OSPFv3, RIP v1/v2, RIPng и BGP-4 для Unix-подобных систем. В новой версии устранено 4 уязвимости в bgpd, в том числе проблема (CVE-2018-5379) с двойным освобождением области памяти (double-free) при обработке сообщений UPDATE (в том числе отправленные не напрямую и доставленных через легитимного пира). Не исключается, что уязвимость может быть эксплуатирована для удалённого выполнения кода атакующего при использовании определённых реализаций malloc. Остальные проблемы могут быть использованы для инициирования краха (CVE-2018-5378, CVE-2018-5380) или зацикливания (CVE-2018-5381).
Подробнее...