Bulletin d'alerte Debian
DLA-1843-1 pdns -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 3 juillet 2019
- Paquets concernés :
- pdns
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2019-10162, CVE-2019-10163.
- Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans pdns, un serveur DNS faisant autorité, qui peuvent avoir pour conséquence un déni de service au moyen d'enregistrements de zone mal formés et de paquets NOTIFY excessifs dans une configuration maître/esclave.
- CVE-2019-10162
Un problème a été découvert dans le serveur d’autorités PowerDNS permettant à un utilisateur autorisé de provoquer la fin du serveur en insérant un enregistrement contrefait dans une zone de type MASTER sous son contrôle. Le problème est dû au fait que le serveur d’autorités abandonnera lorsqu’il rencontre une erreur d’analyse lors de la recherche d’enregistrements NS/A/AAAA qu’il est sur le point d’utiliser pour une notification sortante.
- CVE-2019-10163
Un problème a été découvert dans le serveur d’autorités PowerDNS permettant à un serveur maître, autorisé et distant, de provoquer une charge lourde de CPU ou même d’empêcher de futures mises à jour de n’importe quelle zone esclave en envoyant un grand nombre de messages NOTIFY. Remarquez que seuls les serveurs configurés comme esclave sont touchés par ce problème.
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 3.4.1-4+deb8u10.Nous vous recommandons de mettre à jour vos paquets pdns.
Pour un état de sécurité détaillé de pdns, veuillez vous reporter à sa page de suivi de sécurité : https://security-tracker.debian.org/tracker/pdns
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2019-10162