Debians sikkerhedsbulletin

DSA-3764-1 pdns -- sikkerhedsopdatering

Rapporteret den:
13. jan 2017
Berørte pakker:
pdns
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-2120, CVE-2016-7068, CVE-2016-7072, CVE-2016-7073, CVE-2016-7074.
Yderligere oplysninger:

Adskillige sårbarheder er opdaget i pdns, en autoritativ DNS-server. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2016-2120

    Mathieu Lafon opdagede at pdns ikke på korrekt vis validerede poster i zoner. En autoriseret bruger kunne drage nytte af fejlen til at få serveren til at gå ned, ved at indsætte særligt fremstillede poster i en zone under deres kontrol og dernæst sende en DNS-forespørgsel vedrørende den post.

  • CVE-2016-7068

    Florian Heinz og Martin Kluge rapporterede at pdns fortolkede alle poster, som er til stede i et forespørgsel, uanset om de er nødvendige eller endda legitime, hvilket gjorde det muligt for fjern, uautentificeret angriber, at forårsage en abnorm CPU-forbrugsbelasning på pdns-serveren, medførende et delvist lammelsesangreb (denial of service) hvis systemet blev overbelastet.

  • CVE-2016-7072

    Mongo opdagede at webserveren i pdns var sårbar over for en lammelsesangrebssårbarhed. En fjern, uautentificeret angriber kunne forårsage et lammelsesangreb ved atåbne et stort antal TCP-forbindelser til webserveren

  • CVE-2016-7073 / CVE-2016-7074

    Mongo opdagede at pdns ikke på tilstrækkelig vis validerede TSIG-signaturer, hvilket gjorde det muligt for en angriber, placeret som manden i midten, at ændre indholdet af en AXFR.

I den stabile distribution (jessie), er disse problemer rettet i version 3.4.1-4+deb8u7.

I den ustabile distribution (sid), er disse problemer rettet i version 4.0.2-1.

Vi anbefaler at du opgraderer dine pdns-pakker.