Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3854-1 bind9

Säkerhetsbulletin från Debian

DSA-3854-1 bind9 -- säkerhetsuppdatering

Rapporterat den:

2017-05-14

Berörda paket:

bind9

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 860224, Fel 860225, Fel 860226.
I Mitres CVE-förteckning: CVE-2017-3136, CVE-2017-3137, CVE-2017-3138.

Ytterligare information:

Flera sårbarheter har upptäckts i BIND, en implementation av en DNS-server. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2017-3136

  Oleg Gorokhov från Yandex upptäckte att BIND inte hanterar vissa förfrågningar ordentligt när den använder DNS64 med alternativet "break-dnssec yes;", vilket tillåter en fjärrangripare att orsaka en överbelastning.

• CVE-2017-3137

  Man har upptäckt att BIND gör felaktiga antagande om ordningen på poster i svarsektionen från ett svar som innehåller CNAME eller DNAME-resursposter, vilket leder till situationer där BIND avslutas med ett antagandefel. En angripare kan dra fördel av denna kondition för att orsaka en överbelastning.

• CVE-2017-3138

  Mike Lalumiere från Dyn, Inc. upptäckte att BIND kan avsluta med ett REQUIRE-antagandefel om den får en null-kommonadosträng på dess kontrollkanal. Notera att rättningen som appliceras i Debian endast appliceras som en härdningsåtgärd. Detaljer om detta problem kan hittas på https://kb.isc.org/article/AA-01471.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:9.9.5.dfsg-9+deb8u11.

För den instabila distributionen (Sid) har dessa problem rättats i version 1:9.10.3.dfsg.P4-12.3.

Vi rekommenderar att ni uppgraderar era bind9-paket.