آسیب پذیری های زیادی در نرم‌افزار مسیریابی Quagga رفع شد

این هفته در بسته ی نرم افزار مسیریابی Quagga چندین آسیب پذیری که می توانند منجر به منع سرویس، افشای اطلاعات و اجرای کد از راه دور بشوند رفع شدند. Quagga یک نرم افزار مسیریابی است که از الگوریتم های مسیریابی مانند OSPF ،RIP ،BGP و IS-IS برای بسترهایی مشابه یونیکس مانند لینوکس، سولاریس، FreeBSD و NetBSD پیاده سازی شده است. توسعه دهندگان این نرم افزار این هفته اطلاع دادند که در نسخه ی ۱.۲.۳ تعدادی آسیب پذیری پچ شده است.
یکی از این آسیب‌پذیری‌های حیاتی با شناسه‌ی CVE-2018-5379 موجب خرابی حافظه‌ی آزادسازی دوگانه می شود. در این آسیب پذیری یک فرآیند در مورد پیام UPDATE تحت تاثیر قرار می گیرد که در آن فهرست خوشه‌ها و یا ویژگی‌های ناشناخته وجود دارد. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند عملکرد صحیح نرم افزار را مختل کرده و یا به یک مهاجم راه دور اجازه دهد تا کنترل پردازه‌ی آن را به‌طور کامل در دست گیرد.
یکی دیگر از آسیب‌پذیری‌ها با شناسه‌ی CVE-2018-5381 باعث می‌شود تا پردازه‌ی اصلی برنامه در داخل یک حلقه‌ی بی‌نهایت قرار گرفته و تا زمانی‌که مجددا راه‌اندازی نشود، از کار بیفتد.
در نسخه‌ی جدید این نرم‌افزار، آسیب‌پذیری دیگری با شناسه‌ی CVE-2018-5378 نیز پچ شده است. این آسیب‌پذیری می‌تواند اطلاعات حساسی را از یک پردازه‌ی اصلی به یک نقطه ی دیگر در شبکه ارسال کند. این مسأله می تواند باعث اخلال در کار پردازه‌ی اصلی نرم افزار نیز شود. آخرین آسیب‌پذیری که پچ شده، دارای شناسه‌ی CVE-2018-5378 بوده و توسعه‌دهندگان می‌گویند دارای تاثیرات بسیار کمی است. توزیع‌های لینوکس از جمله اوبونتو، دبیان و Red Hat مشاوره‌نامه‌هایی برای توضیح این آسیب‌پذیری‌ها منتشر کرده اند.

 

 

منبع:

https://www.securityweek.com/bgp-flaws-patched-quagga-routing-software

پاسخی بگذارید