Информация по безопасности / 2012 / Информация о безопасности -- DSA-2519-2 isc-dhcp

Рекомендация Debian по безопасности

DSA-2519-2 isc-dhcp -- несколько уязвимостей

Дата сообщения:

04.08.2012

Затронутые пакеты:

isc-dhcp

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-4539, CVE-2012-3571, CVE-2012-3954.

Более подробная информация:

Было обнаружено несколько уязвимостей в dhcpd от ISC, сервере для автоматического назначения IP адресов. Кроме того в последнем обновлении безопасности для isc-dhcp, DSA-2516-1, неправильно были применены заплаты для CVE-2012-3571 и CVE-2012-3954. Эта проблема была решена в данном обновлении.

• CVE-2011-4539

  Сотрудники BlueCat Networks обнаружили, что при помощи специально сформированных DHCP-запросов можно аварийно завершить DHCP-серверы, настроенные на обработку запросов с регулярными выражениями.

• CVE-2012-3571

  Маркус Хиетава из проекта Codenomicon CROSS обнаружил, что можно ввести сервер в бесконечный цикл с помощью сообщений с некорректными идентификаторами клиента.

• CVE-2012-3954

  Глен Остис обнаружил, что DHCP-серверы, работающие в режиме DHCPv6 и возможном режиме DHCPv4, подвержены утечкам памяти, которые возникают при обработке сообщений. Злоумышленник может использовать эту уязвимость для исчерпания ресурсов и вызова отказа в обслуживании.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 4.1.1-P1-15+squeeze6.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты isc-dhcp.