Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2516-1 isc-dhcp

Debians sikkerhedsbulletin

DSA-2516-1 isc-dhcp -- flere sårbarheder

Rapporteret den:

26. jul 2012

Berørte pakker:

isc-dhcp

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-3571, CVE-2012-3954.

Yderligere oplysninger:

Der er opdaget to sikkerhedsproblemer, som påvirker ISC dhcpd, en server til automatisk tildeling af IP-adresser, i Debian.

• CVE-2012-3571

  Markus Hietava fra Codenomicon CROSS-projektet, opdagede at det var muligt at tvinge serveren ind i en uendelig løkke via meddelelser med misdannede klientidentifikatorer.

• CVE-2012-3954

  Glen Eustace opdagede, at DHCP-servere kørende i DHCPv6-tilstand samt muligvis DHCPv4-tilstand, var ramt af hukommelseslækager under behandling af meddelelser. En angriber kunne udnytte fejlen til at opbruge ressourcer og iværksætte lammelsesangreb (denial of service).

I den stabile distribution (squeeze), er dette problem rettet i version 4.1.1-P1-15+squeeze4.

I distributionen testing (wheezy) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine isc-dhcp-pakker.