Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2442-2 openarena

Bulletin d'alerte Debian

DSA-2442-2 openarena -- Amplification de trafic UDP

Date du rapport :

31 mars 2012

Paquets concernés :

openarena

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 665656.
Dans le dictionnaire CVE du Mitre : CVE-2010-5077.

Plus de précisions :

Des requêtes UDP getstatus usurpées sont envoyées par des attaquants aux serveurs utilisés avec des jeux dérivés du moteur Quake 3 (comme openarena). Ces serveurs répondent en inondant de paquets la victime dont l'adresse IP a été usurpée par les attaquants, avec pour conséquence un déni de service.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.8.5-5+squeeze3.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 0.8.5-6.

Nous vous recommandons de mettre à jour vos paquets openarena.