Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2516-1 isc-dhcp

Bulletin d'alerte Debian

DSA-2516-1 isc-dhcp -- Plusieurs vulnérabilités

Date du rapport :

26 juillet 2012

Paquets concernés :

isc-dhcp

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-3571, CVE-2012-3954.

Plus de précisions :

Deux vulnérabilités de sécurité concernant le serveur DHCP ISC pour l'affectation automatique d'adresse IP ont été découvertes dans Debian.

• CVE-2012-3571

  Markus Hietava du projet CROSS de Codenomicon a découvert qu'il est possible de forcer le serveur à entrer dans une boucle infinie à l'aide de messages ayant des identifiants client contrefaits.

• CVE-2012-3954

  Glen Eustace a découvert que les serveurs DHCP fonctionnant en mode DHCPv6 et éventuellement en mode DHCPv4 sont victimes de fuites de mémoire lors du traitement des messages. Un attaquant peut utiliser ce défaut pour épuiser les ressources et réaliser des attaques par déni de service.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.1.1-P1-15+squeeze4.

Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets isc-dhcp.