Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer une vulnérabilité de bgpd, et deux
vulnérabilités de ospfd, afin de mener un déni de service dans
Quagga, et éventuellement d’y exécuter du code.

Gravité : 2/4

Date création : 12/03/2012

Date révision : 26/03/2012

PRODUITS CONCERNÉS

– Quagga Routing Suite

DESCRIPTION DE LA VULNÉRABILITÉ

Trois vulnérabilités ont été annoncées dans Quagga.

Un attaquant peut employer un paquet BGP Open Message contenant
une Capability AS4 invalide, afin de provoquer une erreur
d’assertion dans bgp_open.c. [grav:2/4 ; CVE-2012-0255]

Un attaquant peut employer un paquet OSPF LS-Update avec un entête
contenant une taille trop grande, afin de provoquer un buffer
overflow. [grav:2/4 ; CVE-2012-0249]

Un attaquant peut employer un paquet OSPF Network-LSA avec un
entête contenant une taille trop grande, afin de provoquer un
buffer overflow. [grav:2/4 ; CVE-2012-0250]

Un attaquant peut donc employer une vulnérabilité de bgpd, et deux
vulnérabilités de ospfd, afin de mener un déni de service dans
Quagga, et éventuellement d’y exécuter du code.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Quagga-trois-vulnerabilites-de-bgpd-et-ospfd-11426