Bulletin d'alerte Debian

DLA-627-1 pdns -- Mise à jour de sécurité pour LTS

Date du rapport :
18 septembre 2016
Paquets concernés :
pdns
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 830808.
Dans le dictionnaire CVE du Mitre : CVE-2016-5426, CVE-2016-5427, CVE-2016-6172.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans pdns, un serveur DNS faisant autorité. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2016-5426 / CVE-2016-5427

    Florian Heinz et Martin Kluge ont signalé que le serveur PowerDNS faisant autorité accepte des requêtes d'une longueur de qname supérieure à 255 octets et ne gère pas correctement les points dans les étiquettes. Un attaquant distant non authentifié peut tirer avantage de ces défauts pour provoquer une charge anormale sur le dorsal PowerDNS en envoyant des requêtes DNS contrefaites pour l'occasion, menant éventuellement à un déni de service.

  • CVE-2016-6172

    Il a été signalé qu'un serveur DNS primaire malveillant peut faire planter un serveur PowerDNS secondaire à cause d'une restriction incorrecte de limites de taille de zone. Cette mise à jour ajoute une fonctionnalité pour limiter la taille des AXFR en réponse à ce défaut.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.1-4.1+deb7u2.

Nous vous recommandons de mettre à jour vos paquets pdns.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.