Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3094-1 bind9

Bulletin d'alerte Debian

DSA-3094-1 bind9 -- Mise à jour de sécurité

Date du rapport :

8 décembre 2014

Paquets concernés :

bind9

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-8500.

Plus de précisions :

BIND, un serveur DNS, est prédisposé à une vulnérabilité de déni de service.

En utilisant des zones construites de façon malveillante ou un serveur intrus, un attaquant peut exploiter une omission dans le code qu'utilise BIND 9 pour suivre les délégations dans le service de nom de domaine, faisant émettre par BIND un nombre illimité de requêtes pour tenter de suivre la délégation.

Cela peut conduire à un épuisement de ressources et à un déni de service (allant jusqu'à arrêter le processus du serveur named).

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1:9.8.4.dfsg.P1-6+nmu2+deb7u3.

Pour la distribution stable à venir (Jessie), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets bind9.