Bulletin d'alerte Debian

DSA-3680-1 bind9 -- Mise à jour de sécurité

Date du rapport :
27 septembre 2016
Paquets concernés :
bind9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 831796, Bogue 839010.
Dans le dictionnaire CVE du Mitre : CVE-2016-2775, CVE-2016-2776.
Plus de précisions :

Deux vulnérabilités ont été signalées dans BIND, un serveur DNS.

  • CVE-2016-2775

    Le composant lwresd de BIND (désactivé par défaut) pourrait planter lors du traitement d'un nom de requête trop long. Cela pourrait conduire à un déni de service.

  • CVE-2016-2776

    Une requête contrefaite pourrait planter le démon de serveur de noms de BIND, conduisant à un déni de service. Tous les rôles du serveur (authoritative, recursive et forwarding) dans les configurations par défaut sont affectés.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:9.9.5.dfsg-9+deb8u7.

Nous vous recommandons de mettre à jour vos paquets bind9.