Bulletin d'alerte Debian

DLA-798-1 pdns -- Mise à jour de sécurité pour LTS

Date du rapport :

25 janvier 2017

Paquets concernés :

pdns

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-2120, CVE-2016-7068, CVE-2016-7072, CVE-2016-7073, CVE-2016-7074.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans pdns, un serveur DNS faisant autorité. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants :

CVE-2016-2120
Mathieu Lafon a découvert que pdns ne valide pas correctement les entrées par zones. Un utilisateur autorisé peut exploiter ce défaut pour planter un serveur par l'insertion d'une entrée contrefaite pour l'occasion dans une zone sous son contrôle puis par l'envoi ultérieur d'une requête DNS pour cette entrée.
CVE-2016-7068
Florian Heinz et Martin Kluge ont signalé que pdns analyse toutes les entrées présentes dans une requête indépendamment du fait qu'elles soient nécessaires ou même justifiées, permettant à un attaquant authentifié distant de provoquer une charge anormale du CPU sur le serveur pdns, aboutissant à un déni de service partiel si le système devient surchargé.
CVE-2016-7072
Mongo a découvert que le serveur web de pdns est exposé à une vulnérabilité de déni de service. Un attaquant non authentifié distant peut provoquer un déni de service en ouvrant un grand nombre de connexions TCP au serveur web.
CVE-2016-7073 / CVE-2016-7074
Mongo a découvert que pdns ne valide pas assez les signatures TSIG, permettant à un attaquant en position « d'homme du milieu » de modifier le contenu d'un AXFR.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.1-4.1+deb7u3.

Nous vous recommandons de mettre à jour vos paquets pdns.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.