USN-6436-1: vulnerabilidades en FRR [crítico]. Se solucionaron varios problemas de seguridad en FRR.
Se descubrió que FRR no verificaba adecuadamente la longitud del atributo en NRLI. Un atacante remoto podría utilizar este problema para provocar una denegación de servicio. (CVE-2023-41358)

Se descubrió que FRR no administraba adecuadamente la memoria al leer los bytes iniciales del encabezado ORF. Un atacante remoto podría utilizar este problema para provocar una denegación de servicio. (CVE-2023-41360)

Se descubrió que FRR no validaba correctamente los atributos en la funcionalidad BGP FlowSpec. Un atacante remoto podría utilizar este problema para provocar una denegación de servicio. (CVE-2023-41909)


USN-6434-1: vulnerabilidad en PMIx [alto]. Se podría hacer que PMIx sobrescriba archivos.
Se descubrió que PMIx no manejaba adecuadamente las condiciones de carrera en la biblioteca pmix, lo que podría provocar una escalada de privilegios no deseada. Un atacante posiblemente podría utilizar este problema para obtener la propiedad de un archivo arbitrario en el sistema de archivos, bajo la configuración predeterminada de la aplicación. (CVE-2023-41915)

Los problemas se pueden corregir actualizando sus sistemas a las siguientes versiones de paquete:

• Ubuntu 23.04
• frr - 8.4.2-1ubuntu1.4
• Ubuntu 22.04
• frr - 8.1-1ubuntu1.6
• libpmix-bin - 4.1.2-2ubuntu1+esm1
• libpmix2 - 4.1.2-2ubuntu1+esm1
• python3-pmix - 4.1.2-2ubuntu1+esm1
• Ubuntu 20.04
• frr - 7.2.1-1ubuntu0.2+esm1
• libpmi1-pmix - 3.1.5-1ubuntu0.1~esm1
• libpmi2-pmix - 3.1.5-1ubuntu0.1~esm1
• libpmix2 - 3.1.5-1ubuntu0.1~esm1

En general, una actualización estándar del sistema realizará todos los cambios necesarios.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es