Bulletin d'alerte Debian

DLA-2556-1 unbound1.9 -- Mise à jour de sécurité pour LTS

Date du rapport :
12 février 2021
Paquets concernés :
unbound1.9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 977165.
Dans le dictionnaire CVE du Mitre : CVE-2020-12662, CVE-2020-12663, CVE-2020-28935.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été corrigées dans unbound, un résolveur DNS mettant en cache, récursif et validant. La prise en charge du serveur DNS Unbound a été reprise, les sources peuvent être trouvées dans le paquet source unbound-1.9

  • CVE-2020-12662

    Unbound contrôlait insuffisamment le volume de messages réseau, c'est-à-dire une vulnérabilité NXNSAttack. Cela est provoqué par des sous-domaines aléatoires dans le NSDNAME dans les enregistrements NS.

  • CVE-2020-12663

    Unbound comportait une boucle infinie à l'aide de réponses DNS mal formées reçues de serveurs amont.

  • CVE-2020-28935

    Unbound comportait une vulnérabilité locale qui pouvait permettre une attaque locale par lien symbolique. Lors de l’écriture d’un fichier PID, unbound créait le fichier s’il n’existait pas ou ouvrait un fichier existant. Si le fichier existait déjà, il suivait les liens symboliques s’il advenait que le fichier était un lien symbolique plutôt qu’un fichier normal.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.9.0-2+deb10u2~deb9u1.

Nous vous recommandons de mettre à jour vos paquets unbound1.9.

Pour disposer d'un état détaillé sur la sécurité de unbound1.9, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/unbound1.9.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.