Рекомендация Debian по безопасности

DSA-1619-1 python-dns -- подделка ответа DNS

Дата сообщения:
27.07.2008
Затронутые пакеты:
python-dns
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 490217.
В каталоге Mitre CVE: CVE-2008-1447, CVE-2008-4099.
Более подробная информация:

В PyDNS, реализации DNS-клиента для языка Python, были обнаружены многочисленные уязвимости. Дэн Камински определил практический вектор подделки ответов DNS и отравления кеша путём использования ограниченной энтропии в DNS-передаче идентификатора и отсутствии случайного выбор порта источника UDP во множестве реализаций DNS. Скотт Киттерман заметил, что пакет python-dns уязвим к указанным проблемам, поскольку в нём не выполняется ни случайный выбор идентификатора транзакции, ни случайный выбор порта источника. Эти две проблемы вместе приводят к тому, что приложения, использующие python-dns для выполнения запросов DNS, весьма вероятно могут быть подвержены подделка ответов DNS.

Проект Common Vulnerabilities and Exposures определяет этот класс уязвимостей как CVE-2008-1447, а этот конкретный её образец в PyDNS как CVE-2008-4099.

В стабильном выпуске (etch) эти проблемы были исправлены в версии 2.3.0-5.2+etch1.

Рекомендуется обновить пакет python-dns.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1.diff.gz
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.