Nueva versión de Zebra

Las versiones no actualizadas de Zebra contienen una vulnerabilidad que
permite realizar un ataque DoS sobre el proceso.

Zebra es una implementación software de rutado, con soporte de diversos

sistemas operativos (Linux, *BSD, etc) y multitud de protocolos (BGP4,

RIP, OSFP, etc).

Las versiones de Zebra previas 0.94 contienen

una vulnerabilidad que permite que cualquier atacante remoto con acceso

al puerto de administración de Zebra (protegido por contraseña) pueda

matar el servidor enviándole una contraseña creada convenientemente.

Otra vulnerabilidad permite que un usuario local envíe mensajes netlink al

proceso Zebra, pudiendo matar el proceso (DoS local).

La

recomendación de Hispasec pasa por actualizar a Zebra 0.94 ó, en su

defecto, filtrar el puerto de administración de Zebra, para permitir el

acceso sólo a IPs de confianza.