Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2519-2 isc-dhcp

Säkerhetsbulletin från Debian

DSA-2519-2 isc-dhcp -- flera sårbarheter

Rapporterat den:

2012-08-04

Berörda paket:

isc-dhcp

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-4539, CVE-2012-3571, CVE-2012-3954.

Ytterligare information:

Flera säkerhetssårbarheter som påverkar ISC dhcpd, en server för automatisk tilldelning av IP-adresser, har upptäckts. Utöver detta så applicerades inte säkerhetsuppdateringen för isc-dhcp, DSA-2516-1, och patcharna för CVE-2012-3571 och CVE-2012-3954 korrekt. Detta har korrigerats i denna ytterligare uppdatering.

• CVE-2011-4539

  BlueCat Networks upptäckte att det är möjligt att krascha DHCP-servrarna som är konfigurerade att evaluera förfrågningar med reguljära uttryck via skapade DHCP-förfråganspaket.

• CVE-2012-3571

  Markus Hietava från projektet Codenomicon CROSS upptäckte att det är möjligt att tvinga en server att gå in i en oändlig loop via meddelande med felaktigt formaterade klientidentifierare.

• CVE-2012-3954

  Glen Eustace upptäckte att DHCP-servrar som kör i DHCPv6-läge och möjligen DHCPv4-läget lider av minnesläckage vid behandling av bilder. En angipare kan utnyttja denna brist för att utmatta resurser och utföra överbelastningsangrepp.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 4.1.1-P1-15+squeeze6.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era isc-dhcp-paket.