چندین آسیب پذیری که می توانند منجر به منع سرویس، افشای اطلاعات و اجرای کد از راه دور بشوند این هفته در بسته ی نرم افزار مسیریابی Quagga وصله شدند. در این بسته ی مسیریابی، الگوریتم های مسیریابی مانند OSPF ،RIP ،BGP و IS-IS برای بسترهایی مشابه یونیکس مانند لینوکس، سولاریس، FreeBSD و NetBSD پیاده سازی شده است. توسعه دهندگان این نرم افزار این هفته اطلاع دادند که در نسخه ی ۱.۲.۳ تعدادی آسیب پذیری وصله شده که دائمون BGP با نام bpgd را تحت تاثیر قرار داده بودند.
یکی از آسیبپذیریهای حیاتی دارای شناسهی CVE-2018-5379 بوده و اشکال خرابی حافظهی آزادسازی دوگانه میباشد و به یک فرآیند در مورد پیام UPDATE مربوط میشود که در آن فهرست خوشهها و یا ویژگیهای ناشناخته وجود دارد. بهرهبرداری موفق از این آسیبپذیری میتواند عملکرد bgpd را در هم شکسته و یا به یک مهاجم راه دور اجازه دهد تا کنترل پردازهی bgpd را بهطور کامل در دست گیرد.
یکی دیگر از آسیبپذیریها دارای شناسهی CVE-2018-5381 بوده و بهرهبرداری از آن باعث میشود تا پردازهی bgpd در داخل یک حلقهی بینهایت قرار گرفته و تا زمانیکه مجددا راهاندازی نشود، از کار بیفتد. توسعهدهندگان این نرمافزار میگویند به دنبال این بهرهبرداری، نشستهای BGP حذف شده و منتشر نمیشوند.
در نسخهی جدید این نرمافزار، آسیبپذیری دیگری با شناسهی CVE-2018-5378 وصله شده است. بهرهبرداری از این آسیبپذیری میتواند اطلاعات حساسی را از یک پردازهی bgpd به یک نظیر دیگر تحت شبکه ارسال کند. این مسأله می تواند باعث فروپاشی پردازهی bgpd نیز بشود. آخرین آسیبپذیری که وصله شده، دارای شناسهی CVE-2018-5378 بوده و توسعهدهندگان میگویند دارای تاثیرات بسیار کمی بوده است. توزیعهای لینوکس از جمله اوبونتو، دبیان و Red Hat مشاورهنامههایی را منتشر کرده و این آسیبپذیریها را توضیح دادهاند.
