Debians sikkerhedsbulletin

DSA-1619-1 python-dns -- DNS-svarforfalskning

Rapporteret den:
27. jul 2008
Berørte pakker:
python-dns
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 490217.
I Mitres CVE-ordbog: CVE-2008-1447, CVE-2008-4099.
Yderligere oplysninger:

Flere svagheder er opdaget i PyDNS, en DNS-klientimplementering til Python-sproget. Dan Kaminsky fandt frem til en anvendelig angrebsvinkel i forbindelse med DNS-svarforfalskning og cacheforgiftning, der udnyttede den begrænsede entropi i en DNS-transaktionsid og manglen på UDP-kildeports-randomnisering i mange DNS-implementeringer. Scott Kitterman bemærkede at python-dns er sårbar over for denne forudsigelighed, den det hverken randomniserer sin transaktionsid eller sin kildekode. Tilsammen medfører den manglende entropi at programmer der anvender python-dns til at udføre DNS-forespørgsler meget sårbare over for svarforfalskning.

Projektet Common Vulnerabilities and Exposures har registreret denne svaghedsklasse som CVE-2008-1447 og denne specifikke forekomst i PyDNS som CVE-2008-4099.

I den stabile distribution (etch), er disse problemer rettet i version 2.3.0-5.2+etch1.

Vi anbefaler at du opgraderer din python-dns-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1.diff.gz
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.