Debians sikkerhedsbulletin

DSA-3097-1 unbound -- sikkerhedsopdatering

Rapporteret den:
10. dec 2014
Berørte pakker:
unbound
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 772622.
I Mitres CVE-ordbog: CVE-2014-8602.
Yderligere oplysninger:

Florian Maury fra ANSSI opdagede at unbound, en validerende og rekursiv DNS-resolver, var sårbar over for et lammelsesangreb (denial of service). En angriber, som fremstiller en ondsindet zone og er i stand til at sende (eller foranledige afsendelse af) forespørgsler til serveren, kunne narre resolveren til at følge en uendelig række delegeringer, førende til udmattelse af ressourcer og en stor netværksbelastning.

I den stabile distribution (wheezy), er dette problem rettet i version 1.4.17-3+deb7u2.

I den kommende stabile distribution (jessie), er dette problem rettet i version 1.4.22-3.

I den ustabile distribution (sid), er dette problem rettet i version 1.4.22-3.

Vi anbefaler at du opgraderer dine unbound-pakker.