Bulletin d'alerte Debian

DSA-1803-1 nsd, nsd3 -- Dépassement de tampon

Date du rapport :

20 mai 2009

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 529418, Bogue 529420.
Dans le dictionnaire CVE du Mitre : CVE-2009-1755.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : VU#710316.

Plus de précisions :

Ilja van Sprundel a découvert qu'un dépassement de tampon dans NSD, un démon de service de nom autoritaire, permettait de planter le serveur en envoyant un paquet contrefait, créant ainsi un déni de service.

Pour l'ancienne distribution stable (Etch), ce problème a été corrigé dans la version 2.3.6-1+etch1 du paquet nsd.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.3.7-1.1+lenny1 du paquet nsd et la version 3.0.7-3.lenny2 du paquet nsd3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.7-3 pour nsd ; nsd3 sera corrigé très prochainement.

Nous vous recommandons de mettre à jour votre paquet nsd ou nsd3.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1.dsc; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1.diff.gz; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.6-1+etch1_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Source :: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7.orig.tar.gz; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1.dsc; http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2.diff.gz; http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7.orig.tar.gz; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1.diff.gz; http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2.dsc
Alpha:: http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_alpha.deb; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_amd64.deb; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_arm.deb; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_arm.deb
ARM EABI:: http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_armel.deb; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_armel.deb
HP Precision:: http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_hppa.deb; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_i386.deb; http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_ia64.deb; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_mips.deb; http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_mipsel.deb; http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_powerpc.deb; http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_s390.deb; http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/n/nsd/nsd_2.3.7-1.1+lenny1_sparc.deb; http://security.debian.org/pool/updates/main/n/nsd3/nsd3_3.0.7-3.lenny2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.