Debian-Sicherheitsankündigung

DSA-1619-1 python-dns -- Manipulation von DNS-Antworten

Datum des Berichts:
27. Jul 2008
Betroffene Pakete:
python-dns
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 490217.
In Mitres CVE-Verzeichnis: CVE-2008-1447, CVE-2008-4099.
Weitere Informationen:

Es wurden mehrere Schwächen in PyDNS, einer Implementierung eines DNS-Clients in Python, identifiziert. Dan Kaminsky identifizierte eine anwendbare Methode zur Manipulation von DNS-Antworten und Cache-Vergiftung (cache poisoning), welche die begrenzte Entropie der DNS-Transaktions-ID und eine fehlende UDP-Quellport-Randomisierung vieler DNS-Implementierungen ausnutzt. Scott Kitterman merkte an, dass Python-DNS anfällig für diese Vorhersagbarkeit sei, da es weder die Transaktions-ID, noch den Quellport zufällig auswähle. Alles in allem sorgt diese fehlende Entropie dafür, dass Anwendungen, welche Python-DNS zur Namensauflösung verwenden, höchst anfällig für die Fälschung von Antworten sind.

Das Common Vulnerabilities and Exposures-Projekt identifiziert diese Art der Schwächen als CVE-2008-1447 und diese spezifische Form bei PyDNS als CVE-2008-4099.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 2.3.0-5.2+etch1 behoben.

Wir empfehlen Ihnen, Ihr python-dns-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1.diff.gz
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1.dsc
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/p/python-dns/python-dns_2.3.0-5.2+etch1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.