Bulletin d'alerte Debian
DSA-3664-1 pdns -- Mise à jour de sécurité
- Date du rapport :
- 10 septembre 2016
- Paquets concernés :
- pdns
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 830808.
Dans le dictionnaire CVE du Mitre : CVE-2016-5426, CVE-2016-5427, CVE-2016-6172. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans pdns, un serveur DNS faisant autorité. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2016-5426 / CVE-2016-5427
Florian Heinz et Martin Kluge ont signalé que le serveur PowerDNS faisant autorité accepte des requêtes d'une longueur de qname supérieure à 255 octets et ne gère pas correctement les points dans les étiquettes. Un attaquant distant non authentifié peut tirer avantage de ces défauts pour provoquer une charge anormale sur le dorsal PowerDNS en envoyant des requêtes DNS contrefaites pour l'occasion, menant éventuellement à un déni de service.
- CVE-2016-6172
Il a été signalé qu'un serveur DNS primaire malveillant peut faire planter un serveur PowerDNS secondaire à cause d'une restriction incorrecte de limites de taille de zone. Cette mise à jour ajoute une fonctionnalité pour limiter la taille des AXFR en réponse à ce défaut.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.4.1-4+deb8u6.
Nous vous recommandons de mettre à jour vos paquets pdns.
- CVE-2016-5426 / CVE-2016-5427