| タイトル | osrgのGoBGPにおけるリソースの不適切なシャットダウンおよびリリースに関する脆弱性 |
|---|---|
| 概要 | osrg GoBGP 4.3.0 までに脆弱性が発見されました。この脆弱性は、コンポーネント SRv6 L3 Service のファイル pkg/packet/bgp/prefix_sid.go 内の関数 SRv6L3ServiceAttribute.DecodeFromBytes に影響します。この引数データの操作によりサービス拒否(DoS)が発生します。攻撃はリモートから実行される可能性があります。この問題はバージョン 4.4.0 にアップグレードすることで修正されます。パッチ名は f9f7b55ec258e514be0264871fa645a2c3edad11 です。影響を受けるコンポーネントをアップグレードすることを推奨します。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月4日0:00 |
| 登録日 | 2026年5月8日12:20 |
| 最終更新日 | 2026年5月8日12:20 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVSS2.0 : 警告 | |
| スコア | 5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:N/I:N/A:P |
| osrg |
| GoBGP 4.4.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月08日] 掲載 |
2026年5月8日12:20 |
| 概要 | A vulnerability has been found in osrg GoBGP up to 4.3.0. This impacts the function SRv6L3ServiceAttribute.DecodeFromBytes of the file pkg/packet/bgp/prefix_sid.go of the component SRv6 L3 Service. Such manipulation of the argument data leads to denial of service. The attack may be performed from remote. Upgrading to version 4.4.0 will fix this issue. The name of the patch is f9f7b55ec258e514be0264871fa645a2c3edad11. You should upgrade the affected component. |
|---|---|
| 公表日 | 2026年5月4日15:16 |
| 登録日 | 2026年5月5日4:06 |
| 最終更新日 | 2026年5月7日5:26 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:osrg:gobgp:*:*:*:*:*:*:*:* | 4.4.0 | ||||