Bulletin d'alerte Debian

DLA-112-1 bind9 -- Mise à jour de sécurité pour LTS

Date du rapport :
15 décembre 2014
Paquets concernés :
bind9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 772610.
Dans le dictionnaire CVE du Mitre : CVE-2014-8500.
Plus de précisions :

Cette mise à jour corrige une vulnérabilité de déni de service dans BIND, un serveur DNS.

En utilisant des zones construites de façon malveillante ou un serveur intrus, un attaquant peut exploiter une omission dans le code qu'utilise BIND 9 pour suivre les délégations dans le service de noms de domaine, faisant émettre par BIND un nombre illimité de requêtes pour tenter de suivre la délégation.

Cela peut conduire à un épuisement de ressources et à un déni de service (allant jusqu'à arrêter le processus du serveur named).

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 9.7.3.dfsg-1~squeeze13 de bind9.