Red Hat va publicar el 8 de juny de 2026 l’avís RHSA-2026:24347, que corregeix dues vulnerabilitats de denegació de servei a FRRouting (paquet frr) sobre Red Hat Enterprise Linux 10. Totes dues comparteixen el mateix símptoma: fan caure el dimoni bgpd, i quan aquest procés cau es retiren del kernel totes les rutes apreses per BGP. El trànsit que depenia d’aquestes rutes es queda sense camí. En un router de trànsit o en la interconnexió de dos centres de dades, una caiguda així no és un ensurt local, es propaga.
FRRouting és la suite de routing que molta gent fa servir a RHEL per parlar BGP, OSPF, IS-IS o RIP. Aquí els dos errors són a la part de BGP, i tots dos es disparen processant un missatge BGP UPDATE rebut d’un peer.
CVE-2026-37457: off-by-one al parser de FlowSpec
El primer és a bgp_flowspec_op_decode(), dins de bgpd/bgp_flowspec_util.c. El camp de tipus de component d’un sub-TLV de FlowSpec s’utilitza en una comprovació de límits que està desplaçada en un. Amb un valor triat expressament, el parser escriu un byte més enllà del buffer reservat al heap. És una escriptura fora de límits d’un sol byte, prou per corrompre memòria i fer caure bgpd.
Per explotar-ho cal poder enviar missatges BGP UPDATE al parlant FRR vulnerable, és a dir, tenir (o falsejar) una sessió BGP amb ell. No és trivial des de fora si el teu BGP està ben filtrat, però entre operadors i en xarxes amb molts peers el model de confiança és més ampli del que sembla.
CVE-2026-37459: underflow processant un TLV NHC
El segon és un underflow d’enter. Afecta les branques estables de FRR de la 10.0 a la 10.6. El dimoni processa un BGP UPDATE amb un camp Next Hop Capability (NHC) de tipus-longitud-valor mal format. Quan tlv_length es prepara per quedar just per sota de la longitud restant del buffer, la resta length -= tlv_length + BGP_NHC_TLV_MIN_LEN es desborda cap avall i produeix un valor sense signe enorme. A partir d’aquí el parser llegeix on no toca i el procés peta.
El vector torna a ser un BGP UPDATE manipulat. Mateix resultat: bgpd cau i les rutes desapareixen.
A qui afecta i com de greu és
Red Hat classifica l’avís com a Important. No hi ha execució de codi en joc segons l’anàlisi publicada, només denegació de servei, però en infraestructura de xarxa això ja és seriós. L’impacte real depèn de la teva topologia: si bgpd és la peça que sosté la teva taula de forwarding, perdre-la deixa l’equip aïllat fins que el dimoni reinicia i reconvergeix.
Afecta les instal·lacions de FRRouting a RHEL 10. Altres distribucions van publicar els seus propis avisos per als mateixos CVE (Ubuntu a USN-8376-1, per exemple), així que val la pena revisar el canal d’actualitzacions segons la distro.
Mitigació
La correcció és a FRR 10.4.4. A RHEL 10 el paquet actualitzat és frr-10.4.4-1.el10_2:
sudo dnf update frr
sudo systemctl restart frrTingues en compte que reiniciar frr provoca una reconvergència de les sessions BGP, així que planifica-ho o fes servir graceful restart si el tens configurat. Com a mesura de defensa addicional, restringeix amb qui aixeques sessions BGP i aplica filtres estrictes de prefixos i de peers: com menys arbitrari sigui qui et pot enviar un UPDATE, menor és la superfície per a aquests dos errors.
Si gestiones equips amb Red Hat Enterprise Linux, revisa també les versions de FRR a qualsevol appliance o imatge derivada que tinguis en producció.
Font
- Red Hat – RHSA-2026:24347: https://access.redhat.com/errata/RHSA-2026:24347
- NVD – CVE-2026-37459: https://nvd.nist.gov/vuln/detail/CVE-2026-37459
- NVD – CVE-2026-37457: https://nvd.nist.gov/vuln/detail/CVE-2026-37457