Bulletin d'alerte Debian

DLA-163-1 bind9 -- Mise à jour de sécurité pour LTS

Date du rapport :
1er mars 2015
Paquets concernés :
bind9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 778733.
Dans le dictionnaire CVE du Mitre : CVE-2015-1349.
Plus de précisions :

Jan-Piet Mens a découvert que le serveur DNS BIND pourrait planter lors du traitement d'un recouvrement de clés DNSSEC incorrect, soit à cause d'une erreur sur la partie de l'opérateur de zone ou d'une interférence avec le trafic réseau par un attaquant. Ce problème affecte les configurations avec les directives « dnssec-validation auto; » (comme implémentées dans la configuration par défaut de Debian) ou « dnssec-lookaside auto; ».

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans bind9 version 1:9.7.3.dfsg-1~squeeze14