Säkerhetsbulletin från Debian

DSA-3251-1 dnsmasq -- säkerhetsuppdatering

Rapporterat den:
2015-05-05
Berörda paket:
dnsmasq
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 783459.
I Mitres CVE-förteckning: CVE-2015-3294.
Ytterligare information:

Nick Sampanis upptäckte att dnsmasq, en liten cachande DNS-pxoxy- och DHCP/TFTP-server, inte kontrollerar returnvärden ordentligt från funktionen setup_reply() som anropas under en TCP-anslutning, som då används som ett storleksargument i en funktion som skriver data på klientens anslutning. En fjärrangripare kunde exploatera denna brist via en speciellt skapad DNS-förfrågan för att orsaka dnsmasq att krascha eller potentiellt få känslig information från processminne.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 2.62-3+deb7u2.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.72-3+deb8u1.

För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era dnsmasq-paket.