jueves, 4 de diciembre de 2003

Nueva versión de Zebra

Las versiones no actualizadas de Zebra contienen una vulnerabilidad que
permite realizar un ataque DoS sobre el proceso.

Zebra es una implementación software de rutado, con soporte de diversos
sistemas operativos (Linux, *BSD, etc) y multitud de protocolos (BGP4,
RIP, OSFP, etc).

Las versiones de Zebra previas 0.94 contienen una vulnerabilidad que
permite que cualquier atacante remoto con acceso al puerto de
administración de Zebra (protegido por contraseña) pueda matar el
servidor enviándole una contraseña creada convenientemente.

Otra vulnerabilidad permite que un usuario local envíe mensajes
"netlink" al proceso Zebra, pudiendo matar el proceso (DoS local).

La recomendación de Hispasec pasa por actualizar a Zebra 0.94 o, en su
defecto, filtrar el puerto de administración de Zebra, para permitir
el acceso sólo a IPs de confianza.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Zebra
http://www.zebra.org/

Updated zebra packages fix security vulnerabilities
https://rhn.redhat.com/errata/RHSA-2003-307.html

No hay comentarios:

Publicar un comentario en la entrada