製品・ソフトウェアに関する情報
Vulnerability Search
Quagga にバッファオーバーフローの脆弱性
Title Quagga にバッファオーバーフローの脆弱性
Summary

Quagga バージョン 0.99.24.1 およびそれ以前のバージョンには、VPNv4 を有効にした、BGP ピアを設定した bgpd にバッファオーバーフローの脆弱性が存在し、任意のコードを実行される可能性があります。 スタックバッファオーバーフロー (CWE-121) - CVE-2016-2342 Quagga は様々なルーティングプロトコルを実装した UNIX プラットフォーム向けのルーティングソフトウェアです。bgp_mplsvpn.c の VPNv4 NLRI パーサ中の memcpy は、Labeled-VPN の SAFI ルートデータを受信した際、データ長の上限を適切に確認しておらず、結果としてスタック上で任意のコードを実行される可能性があります。なお、bgpd が VPNv4 用の BGP ピアを設定している場合にのみ本脆弱性の影響を受け、bgpd のデフォルト設定は脆弱性の影響を受けません。詳細は、開発者が提供する changelog および commit notes を参照してください。 CWE-121: Stack-based Buffer Overflow http://cwe.mitre.org/data/definitions/121.html Quagga http://www.nongnu.org/quagga/ changelog http://nongnu.askapache.com//quagga/quagga-1.0.20160309.changelog.txt commit notes http://git.savannah.gnu.org/cgit/quagga.git/commit/?id=a3bc7e9400b214a0f078fdb19596ba54214a1442

Possible impacts 悪意ある BGP ピアによって、特定の設定の bgpd が動作するホスト上で任意のコードを実行される可能性があります。
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者はこの問題を修正した Quagga 1.0.20160309 をリリースしています。
Publication Date March 10, 2016, midnight
Registration Date March 15, 2016, 10:04 a.m.
Last Update March 23, 2016, 5:55 p.m.
CVSS2.0 : 危険
Score 7.6
Vector AV:N/AC:H/Au:N/C:C/I:C/A:C
Affected System
Quagga
Quagga 0.99.24.1 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2016年03月15日]
  掲載
[2016年03月23日]
  参考情報:National Vulnerability Database (NVD) (CVE-2016-2342) を追加
  CWE による脆弱性タイプ一覧:CWE-ID を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2016-2342
Summary

The bgp_nlri_parse_vpnv4 function in bgp_mplsvpn.c in the VPNv4 NLRI parser in bgpd in Quagga before 1.0.20160309, when a certain VPNv4 configuration is used, relies on a Labeled-VPN SAFI routes-data length field during a data copy, which allows remote attackers to execute arbitrary code or cause a denial of service (stack-based buffer overflow) via a crafted packet.

Publication Date March 17, 2016, 11:59 p.m.
Registration Date Jan. 26, 2021, 2:08 p.m.
Last Update Nov. 21, 2024, 11:48 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:quagga:quagga:0.99.24:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List