Информация по безопасности / 2012 / Информация о безопасности -- DSA-2516-1 isc-dhcp

Рекомендация Debian по безопасности

DSA-2516-1 isc-dhcp -- несколько уязвимостей

Дата сообщения:

26.07.2012

Затронутые пакеты:

isc-dhcp

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-3571, CVE-2012-3954.

Более подробная информация:

В ISC dhcpd, сервере для автоматического присвоения IP адресов, в Debian были обнаружены две уязвимости.

• CVE-2012-3571

  Маркус Хитава из проекта Codenomicon CROSS обнаружил, что можно ввести сервер в бесконечный цикл при помощи сообщений, содержащих специально сформированные идентификаторы клиента.

• CVE-2012-3954

  Глен Эстейс обнаружил, что серверы DHCP, работающие в режиме DHCPv6, а также возможно в режиме DHCPv4, подвержены утечкам памяти, которые возникают при обработке сообщений. Злоумышленник может использовать эту уязвимость для истощения ресурсов и вызова отказа в обслуживании.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 4.1.1-P1-15+squeeze4.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты isc-dhcp.