Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3664-1 pdns

Säkerhetsbulletin från Debian

DSA-3664-1 pdns -- säkerhetsuppdatering

Rapporterat den:

2016-09-10

Berörda paket:

pdns

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 830808.
I Mitres CVE-förteckning: CVE-2016-5426, CVE-2016-5427, CVE-2016-6172.

Ytterligare information:

Flera sårbarheter har upptäckts i pdns, ett auktoritativ DNS-server. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2016-5426 / CVE-2016-5427

  Florian Heinz och Martin Kluge rapporterade att PowerDNS Authoritative Server accepterar förfågningar med en qname's längd som är större än 255 bytes och hanterar inte punkt inuti etiketter ordentligt. En icke auktoriserad fjärrangripare kan dra fördel av dessa brister för att orsaka abnormal belastning på PowerDNS-bakändan genom att skicka speciellt skapade DNS-förfrågningar, vilket potentiellt kan leda till överbelastning.

• CVE-2016-6172

  Det har rapporteats att en illasinnad primär DNS-server kan krascha en sekundär PowerDNS-server på grund av otillräckliga restriktioner på zon-storlekar. Denna uppdatering lägger till en funktion för att begränsa AXFR-storlekar som ett svar på denna brist.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 3.4.1-4+deb8u6.

Vi rekommenderar att ni uppgraderar era pdns-paket.