Debian セキュリティ勧告

DLA-107-1 unbound -- LTS セキュリティ更新

報告日時:
2014-12-12
影響を受けるパッケージ:
unbound
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 772622.
Mitre の CVE 辞書: CVE-2014-8602.
詳細:

ANSSI の Florian Maury さんが、検証、再帰、キャッシュ DNS リゾルバ unbound がサービス拒否脆弱性を起こしやすいことを発見しています。 悪意のあるゾーンを細工してサーバへの問い合わせを出す (出させる) ことのできる攻撃者がリゾルバを欺いて無限に続く委譲を追跡させることで、 リソースの使い果たしとネットワーク使用量の増大につながります。

Debian 6Squeezeでは、この問題は unbound バージョン 1.4.6-1+squeeze4 で修正されています。