Bulletin d'alerte Debian

DLA-1264-1 unbound -- Mise à jour de sécurité pour LTS

Date du rapport :
30 janvier 2018
Paquets concernés :
unbound
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 887733.
Dans le dictionnaire CVE du Mitre : CVE-2017-15105.
Plus de précisions :

Ralph Dolmans et Karst Koymans ont découvert un défaut dans la manière dont unbound validait les enregistrements NSEC synthétisés par caractère générique. Un enregistrement NSEC incorrectement validé pourrait être utilisé pour prouver la non existence (réponse NXDOMAIN) d'un enregistrement à caractère générique existant, ou pour forcer unbound à accepter une preuve NODATA.

Pour davantage d'informations veuillez consulter l'avertissement des développeurs amont à l'adresse https://unbound.net/downloads/CVE-2017-15105.txt.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.4.17-3+deb7u3.

Nous vous recommandons de mettre à jour vos paquets unbound.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.