Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3664-1 pdns

Debians sikkerhedsbulletin

DSA-3664-1 pdns -- sikkerhedsopdatering

Rapporteret den:

10. sep 2016

Berørte pakker:

pdns

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 830808.
I Mitres CVE-ordbog: CVE-2016-5426, CVE-2016-5427, CVE-2016-6172.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i pdns, en autoritativ DNS-server. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2016-5426 / CVE-2016-5427

  Florian Heinz og Martin Kluge rapporterede at PowerDNS Authoritative Server accepterede forespørgsler med en qnames-længde større end 255 bytes og ikke på korrekt vis håndterede punktummer i labels. En uautentificeret fjernangriber kunne drage nytte af fejlene til at forårsage en unormal belastning på PowerDNS' backend ved at sende særligt fremstillede DNS-forespørgsler, potentielt førende til et lammelsesangreb (denial of service).

• CVE-2016-6172

  Der blev rapporteret at en ondsindet primær DNS-server kunne få en sekundær PowerDNS-server til at gå ned på grund af ukorrekt begrænsning af zonestørrelsesgrænser. Denne opdatering tilføjer funktionalitet til at begrænse AXFR-størrelser som følge af fejlen.

I den stabile distribution (jessie), er disse problemer rettet i version 3.4.1-4+deb8u6.

Vi anbefaler at du opgraderer dine pdns-pakker.