Quagga路由软件消息远程拒绝服务漏洞

受影响系统：
Quagga Quagga Routing Software Suite 0.99.6
Quagga Quagga Routing Software Suite 0.99.3
Quagga Quagga Routing Software Suite 0.99.1
Quagga Quagga Routing Software Suite 0.98.6
Quagga Quagga Routing Software Suite 0.98.5
Quagga Quagga Routing Software Suite 0.98.3
Quagga Quagga Routing Software Suite 0.98.3

描述：
Quagga是一个路由软件套件，可在Unix平台上实现多种路由协议。

Quagga处理畸形的请求消息时存在漏洞，远程攻击者可能利用此漏洞导致服务程序崩溃。

Quagga的bgpd没有验证从MP_REACH_NLRI和MP_UNREACH_NLRI属性检索到的长度信息，导致bgpd通过流API越界报文请求信息。如果启用了DEBUG ，也就是启用了assert()，就会在lib/stream.c中触发异常，导致bgpd退出；如果没有启用DEBUG，bgpd就会越界读取缓冲区。

厂商补丁：
Gentoo已经为此发布了一个安全公告（GLSA-200705-05）以及相应补丁:
GLSA-200705-05：Quagga: Denial of Service
链接：http://security.gentoo.org/glsa/glsa-200705-05.xml

所有Quagga用户都应升级到最新版本：

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=net-misc/quagga-0.98.6-r2"

Quagga
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://bugzilla.quagga.net/attachment.cgi?id=145&action=view