Bulletin d'alerte Debian

DSA-1619-1 python-dns -- Usurpation de réponse DNS

Date du rapport :
27 juillet 2008
Paquets concernés :
python-dns
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 490217.
Dans le dictionnaire CVE du Mitre : CVE-2008-1447, CVE-2008-4099.
Plus de précisions :

Plusieurs faiblesses ont été identifiées dans PyDNS, un client DNS implanté en langage Python. Dan Kaminsky a identifié un vecteur concret d'usurpation de réponse DNS et d'empoisonnement du cache exploitant l'entropie limitée dans un identifiant de transaction DNS et dans le manque de sélection aléatoire de port UDP source dans plusieurs implantations de DNS. Scott Kitterman a indiqué que python-dns était vulnérable à cette prévisibilité, car il ne rend aléatoire ni ses identifiants de transactions ni ses ports sources. Ce manque d'entropie laisse les applications réalisant des requêtes DNS via python-dns fortement vulnérables à la contrefaçon des réponses.

Le projet des expositions et vulnérabilités communes (CVE) identifie cette faiblesse sous la référence CVE-2008-1447 et cette référence spécifique pour PyDNS : CVE-2008-4099.

Pour la distribution stable (Etch), ce problème a été corrigé dans la version 2.3.0-5.2+etch1.

Nous vous recommandons de mettre à jour vos paquets python-dns.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1.diff.gz
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.