LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2022 / Informations sur la sécurité -- DLA-2910-1 ldns

Bulletin d'alerte Debian

DLA-2910-1 ldns -- Mise à jour de sécurité pour LTS

Date du rapport :

4 février 2022

Paquets concernés :

ldns

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-19860, CVE-2020-19861, CVE-2017-1000231, CVE-2017-1000232.

Plus de précisions :

Il y avait quatre problèmes dans ldns, une bibliothèque utilisée dans les programmes liés au Domain Name System (DNS) :

• CVE-2020-19860

  Quand ldns version 1.7.1 vérifie un fichier de zone, la fonction ldns_rr_new_frm_str_internal est sujette à une vulnérabilité de lecture de tas hors limites. Un attaquant peut divulguer des informations sur le tas en construisant une charge utile de fichier de zone.

• CVE-2020-19861

  Quand un fichier de zone dans ldns version 1.7.1 est analysé, la fonction ldns_nsec3_salt_data est aussi considérée fiable pour la valeur de longueur obtenue à partir du fichier de zone. Quand memcpy est copié, les octets de données 0xfe - ldns_rdf_size(salt_rdf) peuvent être copiés, provoquant une fuite d'informations de dépassement de tas.

• CVE-2017-1000231

  Une vulnérabilité de double libération de zone de mémoire dans parse.c dans ldns 1.7.0 avait un impact non spécifié et des vecteurs d'attaque.

• CVE-2017-1000232

  Une vulnérabilité de double libération de zone de mémoire dans str2host.c dans ldns 1.7.0 avait un impact non spécifié et des vecteurs d'attaque.

Pour Debian 9 Stretch, ces quatre problèmes ont été corrigés dans la version 1.7.0-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ldns.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.