Säkerhetsbulletin från Debian

DSA-1795-1 ldns -- buffertspill

Rapporterat den:
2009-05-07
Berörda paket:
ldns
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2009-1086.
Ytterligare information:

Stefan Kaltenbrunner upptäckte att ldns, ett bibliotek och en samling verktyg för att underlätta DNS-programmering, inte implementerade en buffertgränskontroll i dess posttolkare för RR DNS på ett korrekt sätt. Denna sårbarhet kunde tillåta spill i en heapbuffert om en illvilligt specialskriven post tolkas, vilket möjligen kunde tillåta exekvering av godtycklig kod. Omfattningen av sårbarheten varierar med sammanhanget i vilket ldns används och kan tillgängliggöra antingen en lokal eller en utifrån åtkomlig angreppspunkt.

Den gamla stabila utgåvan (Etch) påverkas inte av detta problem.

För den stabila utgåvan (Lenny) har detta problem rättats i version 1.4.0-1+lenny1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.5.1-1.

Vi rekommenderar att ni uppgraderar era ldns-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/l/ldns/ldns_1.4.0.orig.tar.gz
http://security.debian.org/pool/updates/main/l/ldns/ldns_1.4.0-1+lenny1.diff.gz
http://security.debian.org/pool/updates/main/l/ldns/ldns_1.4.0-1+lenny1.dsc
Alpha:
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_alpha.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_alpha.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_amd64.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_amd64.deb
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_arm.deb
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_arm.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_armel.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_armel.deb
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_hppa.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_hppa.deb
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_i386.deb
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_i386.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_ia64.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_ia64.deb
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_mips.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_mips.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_mipsel.deb
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_mipsel.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_s390.deb
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_s390.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_sparc.deb
http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_sparc.deb
http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.