Рекомендация Debian по безопасности

DSA-3764-1 pdns -- обновление безопасности

Дата сообщения:
13.01.2017
Затронутые пакеты:
pdns
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-2120, CVE-2016-7068, CVE-2016-7072, CVE-2016-7073, CVE-2016-7074.
Более подробная информация:

В pdns, авторитетном DNS-сервере, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2016-2120

    Матьё Лафон обнаружил, что pdns неправильно выполняет проверку записей в зонах. Авторизованный пользователь может использовать эту уязвимость для аварийной остановки сервера путём вставки специально сформированной записи в зону, находящуюся под управлением этого пользователя, и отправки DNS-запроса об этой записи.

  • CVE-2016-7068

    Флориан Хайнц и Мартин Клюге сообщили, что pdns-recursor, рекурсивный DNS-сервер, выполняет грамматический разбор всех записей из запроса вне зависимости от того, нужны они или нет, и даже вне зависимости от того, корректны ли они, что позволяет удалённому неаутентифицированному злоумышленнику вызывать ненормальную нагрузку на ЦП на сервере pdns, что приводит к частичному отказу в обслуживании в случае, если система оказывается перегружена.

  • CVE-2016-7072

    Mongo обнаружил, что веб-сервер в pdns подвержен отказу в обслуживании. Удалённый неаутентифицированный злоумышленник может вызывать отказ в обслуживании путём открытия большого числе TCP-соединений к веб-серверу.

  • CVE-2016-7073 / CVE-2016-7074

    Mongo обнаружил, что pdns выполняет недостаточную проверку подписей TSIG, позволяя злоумышленнику, использующему атаку по принципу человек-в-середине, изменять содержимое AXFR.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 3.4.1-4+deb8u7.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.0.2-1.

Рекомендуется обновить пакеты pdns.