• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3664-1 pdns -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3664-1 pdns -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:N/A:C)
Производитель ПО
Описание
В pdns, авторитетном DNS-сервере, были обнаружены многочисленные
уязвимости. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:

CVE-2016-5426 / CVE-2016-5427
Флориан Хайнц и Мартин Клюге сообщили, что PowerDNS
    Authoritative Server принимает запросы, длина qname которых более
    255 байт, а также неправильно обрабатывает точки внутри меток.
    Удалённый неаутентифицированный злоумышленник может использовать эти уязвимости
    для вызова аномальной нагрузки на движок PowerDNS путём отправки специально сформированных
    DNS-запросов, что потенциально приводит к отказу в обслуживании.
CVE-2016-6172
Было сообщено о том, что первичный DNS-сервер, контролируемый злоумышленником, может
    аварийно завершить работу вторичного сервера PowerDNS из-за неправильного ограничения размеров
    зон. Данное обновление добавляет возможность ограничивать размеры AXFR, которая позволяет
    противостоять этой уязвимости.

В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 3.4.1-4+deb8u6.
Рекомендуется обновить пакеты pdns.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
pdns - 3.4.1-4+deb8u6
Ссылки
http://www.debian.org/security/dsa-3664/

Источник: CVE
Наименование: CVE-2016-5427
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5427

Источник: CVE
Наименование: CVE-2016-5426
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5426

Источник: CVE
Наименование: CVE-2016-6172
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6172