| タイトル | osrgのGoBGPにおける複数の脆弱性 |
|---|---|
| 概要 | osrg GoBGP バージョン4.3.0までに脆弱性が発見されました。影響を受けるのは、AIGP属性パーサーのコンポーネントにあるファイル pkg/packet/bgp/bgp.go の PathAttributeAigp.DecodeFromBytes 関数です。この関数を操作するとバッファオーバーフローが発生します。この攻撃はリモートから開始可能です。バージョン4.4.0にアップグレードすることでこの問題は解決されます。修正パッチは51ad1ada06cb41ce47b7066799981816f50b7cedと名付けられています。影響を受けるコンポーネントはアップグレードが必要です。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月4日0:00 |
| 登録日 | 2026年5月8日12:20 |
| 最終更新日 | 2026年5月8日12:20 |
| CVSS3.0 : 重要 | |
| スコア | 7.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
| CVSS2.0 : 危険 | |
| スコア | 7.5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| osrg |
| GoBGP 4.4.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月08日] 掲載 |
2026年5月8日12:20 |
| 概要 | A vulnerability was found in osrg GoBGP up to 4.3.0. Affected is the function PathAttributeAigp.DecodeFromBytes of the file pkg/packet/bgp/bgp.go of the component AIGP Attribute Parser. Performing a manipulation results in buffer overflow. It is possible to initiate the attack remotely. Upgrading to version 4.4.0 is able to address this issue. The patch is named 51ad1ada06cb41ce47b7066799981816f50b7ced. The affected component should be upgraded. |
|---|---|
| 公表日 | 2026年5月4日15:16 |
| 登録日 | 2026年5月5日4:06 |
| 最終更新日 | 2026年5月7日5:27 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:osrg:gobgp:*:*:*:*:*:*:*:* | 4.4.0 | ||||