Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3304-1 bind9

Bulletin d'alerte Debian

DSA-3304-1 bind9 -- Mise à jour de sécurité

Date du rapport :

7 juillet 2015

Paquets concernés :

bind9

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-4620.

Plus de précisions :

Breno Silveira Soares du Service Fédéral de Traitement de Données (SERPRO) a découvert que le serveur DNS BIND est prédisposé à une vulnérabilité de déni de service. Un attaquant distant, pouvant inciter un résolveur de validation à interroger une zone contenant des contenus construits pour l'occasion, peut le faire terminer avec une erreur d'assertion, provoquant un déni de service pour les clients utilisant ce résolveur.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1:9.8.4.dfsg.P1-6+nmu2+deb7u5.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1:9.9.5.dfsg-9+deb8u1.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets bind9.