Bulletin d'alerte Debian

DSA-4133-1 isc-dhcp -- Mise à jour de sécurité

Date du rapport :
7 mars 2018
Paquets concernés :
isc-dhcp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 887413, Bogue 891785, Bogue 891786.
Dans le dictionnaire CVE du Mitre : CVE-2017-3144, CVE-2018-5732, CVE-2018-5733.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le client, relais et serveur DHCP ISC. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2017-3144

    Le serveur DHCP ne nettoie pas correctement les connexions OMAPI fermées, ce qui peut conduire à l'épuisement de la réserve de descripteurs de socket disponible pour le serveur DHCP, avec pour conséquence un déni de service.

  • CVE-2018-5732

    Felix Wilhelm de l'équipe de sécurité de Google a découvert que le client DHCP est prédisposé à une vulnérabilité d'accès mémoire hors limites lors du traitement de réponses d'options DHCP construites pour l'occasion, avec pour conséquence une possible exécution de code arbitraire par un serveur DHCP malveillant.

  • CVE-2018-5733

    Felix Wilhelm de l'équipe de sécurité de Google a découvert que le serveur DHCP ne gère pas correctement le comptage de références lors du traitement de requêtes du client. Un client malveillant peut tirer avantage de ce défaut pour provoquer un déni de service (plantage de dhcpd) en envoyant un grand volume de trafic.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 4.3.1-6+deb8u3.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.3.5-3+deb9u1.

Nous vous recommandons de mettre à jour vos paquets isc-dhcp.

Pour disposer d'un état détaillé sur la sécurité de isc-dhcp, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/isc-dhcp