Bulletin d'alerte Debian

DLA-506-1 dhcpcd5 -- Mise à jour de sécurité pour LTS

Date du rapport :
6 juin 2016
Paquets concernés :
dhcpcd5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-7912, CVE-2014-7913.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans dhcpcd5, un paquet de client DHCP. Un attaquant distant (sur un réseau local) peut éventuellement exécuter du code arbitraire ou provoquer une attaque par déni de service à l'aide de messages contrefaits.

  • CVE-2014-7912

    La fonction get_option ne valide pas la relation entre champs de longueur et quantité de données. Cela permet à des serveurs DHCP distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire) à l'aide d'une valeur de longueur importante d'une option dans un message DHCPACK.

  • CVE-2014-7913

    La fonction print_option interprète mal la valeur de retour de la fonction snprintf. Cela permet à des serveurs DHCP distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire) à l'aide d'un message contrefait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 5.5.6-1+deb7u2.

Nous vous recommandons de mettre à jour vos paquets dhcpcd5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.