Debians sikkerhedsbulletin

DSA-3251-1 dnsmasq -- sikkerhedsopdatering

Rapporteret den:
5. maj 2015
Berørte pakker:
dnsmasq
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 783459.
I Mitres CVE-ordbog: CVE-2015-3294.
Yderligere oplysninger:

Nick Sampanis opdagede at dnsmasq, en lille cachende DNS-proxy og DHCP-/TFTP-server, ikke på korrekt vis kontrollerede returværdien fra funktionen setup_reply(), som kaldes under en TCP-forbindelse, og som dernæst anvendes som et størrelsesparameter i en funktion, der skriver data på klientens forbindelse. En fjernangriber kunne udnytte problemet gennem en særligt fremstillet DNS-forespørgsl, til at få dnsmasq til at gå ned eller potentielt få adgang til følsomme oplysninger fra proceshukommelsen.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 2.62-3+deb7u2.

I den stabile distribution (jessie), er dette problem rettet i version 2.72-3+deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine dnsmasq-pakker.