Bulletin d'alerte Debian
DSA-1795-1 ldns -- Dépassement de tampon
- Date du rapport :
- 7 mai 2009
- Paquets concernés :
- ldns
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-1086.
- Plus de précisions :
-
Stefan Kaltenbrunner a découvert que ldns, une bibliothèque et un ensemble d'utilitaires pour faciliter la programmation des DNS, n'implémentait pas correctement une vérification de limite de tampon dans son analyseur d'enregistrements DNS RR. Cette faiblesse pourrait entraîner un dépassement de tampon par la pile si un enregistrement contrefait est analysé, permettant éventuellement l'exécution de code arbitraire. L'étendue des compromissions varie avec le contexte dans lequel ldns est utilisé, et pourrait présenter un vecteur d'attaque locale ou distante.
L'ancienne distribution stable (Etch) n'est pas concernée par ce problème.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.4.0-1+lenny1.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.5.1-1.
Nous vous recommandons de mettre à jour vos paquets ldns.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/l/ldns/ldns_1.4.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/l/ldns/ldns_1.4.0-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/l/ldns/ldns_1.4.0-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/l/ldns/ldns_1.4.0-1+lenny1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/l/ldns/libldns1_1.4.0-1+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/l/ldns/ldnsutils_1.4.0-1+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/l/ldns/libldns-dev_1.4.0-1+lenny1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.