Debian セキュリティ勧告

DSA-1619-1 python-dns -- DNS 応答詐称

報告日時:
2008-07-27
影響を受けるパッケージ:
python-dns
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 490217.
Mitre の CVE 辞書: CVE-2008-1447, CVE-2008-4099.
詳細:

Python 言語の DNS クライアント実装 PyDNS に複数の欠陥が発見されました。 Dan Kaminsky さんにより、DNS トランザクション ID のランダムさの不足と、 UDP ソースポートランダム化が多くの DNS 実装に欠けていることから、DNS 応 答詐称とそれによるキャッシュ汚染攻撃が現実の脅威となることが示されまし た。Scott Kitterman さんにより、python-dns がトランザクション ID とソー スポートの何れもランダム化していないため、この予測可能であるという脆弱 性を持つことが報告されました。この両方のランダム性不足の問題のため、 python-dns を使うアプリケーションは応答詐称攻撃に対してきわめて脆弱です。

The Common Vulnerabilities and Exposures project はこの種の問題を CVE-2008-1447 および PyDNS におけるこの特定例を CVE-2008-4099 として認識しています。

安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 2.3.0-5.2+etch1 で修正されています。

直ぐに python-dns パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 4.0 (etch)

ソース:
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1.diff.gz
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1.dsc
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。