Bulletin d'alerte Debian

DSA-3763-1 pdns-recursor -- Mise à jour de sécurité

Date du rapport :
13 janvier 2017
Paquets concernés :
pdns-recursor
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-7068.
Plus de précisions :

Florian Heinz et Martin Kluge ont signalé que pdns-recursor, un serveur de DNS récursif, analyse toutes les informations présentes dans une requête indépendamment du fait qu'elles sont nécessaires ou même légitimes, permettant à un attaquant distant, non-authentifié, de provoquer une charge d'utilisation anormale du processeur sur le serveur pdns, ayant pour conséquence un déni de service partiel si le système devient surchargé.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.6.2-2+deb8u3.

Nous vous recommandons de mettre à jour vos paquets pdns-recursor.