检测

iracleLinux 3quagga-0.98.6-7.1.0.1.AXS3 (AXSA:2012-930:01)

high Nessus 插件 ID 284207

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程 MagicLinux 3 主机上存在安装的程序包该程序包受到 AXSA:2012-930:01 公告中提及的多个漏洞的影响。

 Quagga 是一款管理基于 TCP/IP 的路由协议的免费软件。它采用多服务器和多线程的方法来解决当前 Internet 的复杂性。
 Quagga 支持 BGP4、BGP4+、OSPFv2、OSPFv3、RIPv1、RIPv2 和 RIPng。
 Quagga 预期用作路由服务器和路由反射器。它不是工具包,而是在新的架构下提供完整的路由功能。Quagga 按照设计已为每个协议分配一个进程。
 Quagga 是 GNU Zebra 的一个分支。
 此版本修复的安全问题
 CVE-2010-16740.99.18 之前的 Quagga 中 bgpd 中的扩展社区解析器允许远程攻击者通过畸形的扩展社区属性来造成拒绝服务空指针取消引用和应用程序崩溃。
 CVE-2011-33230.99.19 之前版本的 Quagga 中 ospf6d 中的 OSPFv3 实现允许远程攻击者通过具有无效 IPv6 前缀长度的链路状态更新消息造成拒绝服务越界内存访问和后台程序崩溃。
 CVE-2011-3324 低于 0.99.19 的Quagga 中 ospf6d 的 OSPFv3 实现内 ospf6_lsa.c 内的 ospf6_lsa_is_changed 函数允许远程攻击者通过链路状态公告 (LSA) 标头列表中的尾部零值造成拒绝服务断言失败和后台程序退出IPv6 数据库描述消息的说明。
 CVE-2011-3325 低于 0.99.19 的 Quagga 中 ospfd 内的 ospf_packet.c 允许远程攻击者通过 (1) IPv4 数据包标头中的 0x0a 类型字段或 (2) 截断的 IPv4 Hello 数据包造成拒绝服务后台程序崩溃。
 CVE-2011-3326 之前版本的 Quagga 中 ospfd 的 ospf_flood.c 内的 ospf_flood 函数 0.99.19 允许远程攻击者通过 IPv4 链路状态更新消息中无效的链路状态公告 (LSA) 类型造成拒绝服务后台程序崩溃。
 CVE-2011-3327 在低于 0.99.19 的 Quagga 中 bgpd 中 bgp_ecommunity.c 内的 ecommunity_ecom2str 函数中存在基于堆的缓冲区溢出这允许远程攻击者通过 IPv4 发送构建的 BGP UPDATE 消息来造成拒绝服务后台程序崩溃或可能执行任意代码。
 CVE-2012-0249 在低于 0.99.20.1 的Quagga 中ospfd 的 OSPFv2 实现中ospf_packet.c 的 ospf_ls_upd_list_lsa 函数中的缓冲区溢出允许远程攻击者通过链路状态更新也称为 LS 更新数据包造成拒绝服务断言失败和后台程序退出比其标头中指定的长度小。
 CVE-2012-02500.99.20.1 之前版本的 Quagga 中 ospfd 内 OSPFv2 实现中的缓冲区溢出允许远程攻击者通过包含data-structure 长度小于 Length 标头字段中的值。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 quagga、quagga-contrib 和/或 quagga-devel 程序包。

另见

https://tsn.miraclelinux.com/en/node/3474

插件详情

严重性: High

ID: 284207

文件名: miracle_linux_AXSA-2012-930.nasl

版本: 1.1

类型: Local

发布时间: 2026/1/14

最近更新时间: 2026/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: High

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2011-3327

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2011-3325

漏洞信息

CPE: p-cpe:/a:miracle:linux:quagga-devel, p-cpe:/a:miracle:linux:quagga-contrib, p-cpe:/a:miracle:linux:quagga, cpe:/o:miracle:linux:3

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/9/26

漏洞发布日期: 2011/3/21

参考资料信息

CVE: CVE-2010-1674, CVE-2011-3323, CVE-2011-3324, CVE-2011-3325, CVE-2011-3326, CVE-2011-3327, CVE-2012-0249, CVE-2012-0250