Рекомендация Debian по безопасности

DSA-1623-1 dnsmasq -- отравление кеша DNS

Дата сообщения:
31.07.2008
Затронутые пакеты:
dnsmasq
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2008-1447.
Более подробная информация:

Дэн Камински обнаружил, что собственные свойства протокола DNS приводят к практическим атакам по отравлению кеша DNS. Помимо прочего успешные атаки могут приводить к неправильному направлению веб-трафика и электронной почты.

Данное обновление изменяет пакеты dnsmasq так, что в них реализуются рекомендуемые контрмеры: случайный выбор порта источника UDP-запроса. Это изменение увеличивает размер области, из которой злоумышленник должен угадать значения и делает успешные атаки значительно более трудными.

Кроме того, в данном обновлении используется SURF, генератор случайных чисел Дэна Бернштайна.

В стабильном выпуске (etch) эта проблема была исправлена в версии 2.35-1+etch4. Пакеты для архитектуры alpha будут подготовлены позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.43-1.

Рекомендуется обновить пакет dnsmasq.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4.dsc
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35.orig.tar.gz
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4.diff.gz
AMD64:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/dnsmasq/dnsmasq_2.35-1+etch4_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.