Debian セキュリティ勧告
DSA-3097-1 unbound -- セキュリティ更新
- 報告日時:
- 2014-12-10
- 影響を受けるパッケージ:
- unbound
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 772622.
Mitre の CVE 辞書: CVE-2014-8602. - 詳細:
-
ANSSI の Florian Maury さんが、検証、再帰、キャッシュ DNS リゾルバ unbound がサービス拒否脆弱性を起こしやすいことを発見しています。 悪意のあるゾーンを細工してサーバへの問い合わせを出す (出させる) ことのできる攻撃者がリゾルバを欺いて無限に続く委譲を追跡させることで、 リソースの使い果たしとネットワーク使用量の増大につながります。
安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.4.17-3+deb7u2 で修正されています。
次期安定版 (stable) ディストリビューション (jessie) では、この問題はバージョン 1.4.22-3 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.4.22-3 で修正されています。
直ちに unbound パッケージをアップグレードすることを勧めます。