این هفته در بسته ی نرم افزار مسیریابی Quagga چندین آسیب پذیری که می توانند منجر به منع سرویس، افشای اطلاعات و اجرای کد از راه دور بشوند رفع شدند. Quagga یک نرم افزار مسیریابی است که از الگوریتم های مسیریابی مانند OSPF ،RIP ،BGP و IS-IS برای بسترهایی مشابه یونیکس مانند لینوکس، سولاریس، FreeBSD و NetBSD پیاده سازی شده است. توسعه دهندگان این نرم افزار این هفته اطلاع دادند که در نسخه ی ۱.۲.۳ تعدادی آسیب پذیری پچ شده است.
یکی از این آسیبپذیریهای حیاتی با شناسهی CVE-2018-5379 موجب خرابی حافظهی آزادسازی دوگانه می شود. در این آسیب پذیری یک فرآیند در مورد پیام UPDATE تحت تاثیر قرار می گیرد که در آن فهرست خوشهها و یا ویژگیهای ناشناخته وجود دارد. بهرهبرداری موفق از این آسیبپذیری میتواند عملکرد صحیح نرم افزار را مختل کرده و یا به یک مهاجم راه دور اجازه دهد تا کنترل پردازهی آن را بهطور کامل در دست گیرد.
یکی دیگر از آسیبپذیریها با شناسهی CVE-2018-5381 باعث میشود تا پردازهی اصلی برنامه در داخل یک حلقهی بینهایت قرار گرفته و تا زمانیکه مجددا راهاندازی نشود، از کار بیفتد.
در نسخهی جدید این نرمافزار، آسیبپذیری دیگری با شناسهی CVE-2018-5378 نیز پچ شده است. این آسیبپذیری میتواند اطلاعات حساسی را از یک پردازهی اصلی به یک نقطه ی دیگر در شبکه ارسال کند. این مسأله می تواند باعث اخلال در کار پردازهی اصلی نرم افزار نیز شود. آخرین آسیبپذیری که پچ شده، دارای شناسهی CVE-2018-5378 بوده و توسعهدهندگان میگویند دارای تاثیرات بسیار کمی است. توزیعهای لینوکس از جمله اوبونتو، دبیان و Red Hat مشاورهنامههایی برای توضیح این آسیبپذیریها منتشر کرده اند.
منبع:
https://www.securityweek.com/bgp-flaws-patched-quagga-routing-software