Säkerhetsbulletin från Debian

DSA-3764-1 pdns -- säkerhetsuppdatering

Rapporterat den:
2017-01-13
Berörda paket:
pdns
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-2120, CVE-2016-7068, CVE-2016-7072, CVE-2016-7073, CVE-2016-7074.
Ytterligare information:

Flera sårbarheter har upptäckts i pdns, en auktoritativ DNS-server. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2016-2120

    Mathieu Lafon upptäckte att pdns inte validerar poster i zoner ordentligt. En auktoriserad användare kan dra fördel av denna brist för att krascha servrar genom att sätta in en speciellt skapad post i zon under deras kontroll och sedan skicka en DNS-förfrågan för den posten.

  • CVE-2016-7068

    Florian Heinz och Martin Kluge rapporterade att pdns tolkar alla poster som finns i en förfrågan oberoende på om de behövs eller om de är legitima, vilket tillåter en icke auktoriserad fjärrangripare att orsaka en onormal CPU-last på pdns-servern, vilket resulterar i partiell överbelastning om systemet överlastas.

  • CVE-2016-7072

    Mongo upptäckte att webbservern i pdns är sårbar för en överbelastningssårbarhet som tillåter en icke auktoriserad fjärrangripare att utföra en överbelastning genom att öppna ett stort antal TCP-anslutningar till webbservern.

  • CVE-2016-7073 / CVE-2016-7074

    Mongo upptäckte att pdns inte validerar TSIG-signaturer tillräckligt, vilket tillåter en angripare på plats för ett man-in-the-middle-angrepp att ändra innehållet i en AXFR.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 3.4.1-4+deb8u7.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.0.2-1.

Vi rekommenderar att ni uppgraderar era pdns-paket.