Bulletin d'alerte Debian

DSA-3764-1 pdns -- Mise à jour de sécurité

Date du rapport :
13 janvier 2017
Paquets concernés :
pdns
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-2120, CVE-2016-7068, CVE-2016-7072, CVE-2016-7073, CVE-2016-7074.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans pdns, un serveur DNS faisant autorité. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2016-2120

    Mathieu Lafon a découvert que pdns ne valide pas correctement les informations dans les zones. Un utilisateur autorisé peut tirer avantage de ce défaut pour faire planter le serveur en insérant une information contrefaite pour l'occasion dans une zone sous son contrôle, puis en envoyant une requête DNS sur cette information.

  • CVE-2016-7068

    Florian Heinz et Martin Kluge ont signalé que pdns analyse toutes les informations présentes dans une requête indépendamment du fait qu'elles sont nécessaires ou même légitimes, permettant à un attaquant distant, non-authentifié, de provoquer une charge d'utilisation anormale du processeur sur le serveur pdns, ayant pour conséquence un déni de service partiel si le système devient surchargé.

  • CVE-2016-7072

    Mongo a découvert que le serveur web dans pdns est vulnérable à un déni de service, permettant à un attaquant distant, non-authentifié, de provoquer un déni de service en ouvrant un grand nombre de connexions TCP sur le serveur web.

  • CVE-2016-7073 / CVE-2016-7074

    Mongo a découvert que pdns ne valide pas suffisamment les signatures TSIG, permettant à un attaquant dans la position « d'homme du milieu » d'altérer le contenu d'un transfert de zone DNS (« AXFR »).

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.4.1-4+deb8u7.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.2-1.

Nous vous recommandons de mettre à jour vos paquets pdns.