Bulletin d'alerte Debian

DSA-1515-1 libnet-dns-perl -- Plusieurs vulnérabilités

Date du rapport:

11 mars 2008

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le système de suivi des bogues Debian : Bogue 457445.
Dans le dictionnaire CVE du Mitre : CVE-2007-3377, CVE-2007-3409, CVE-2007-6341.

Pour plus d'information:

Plusieurs vulnérabilités distantes ont été découvertes dans libnet-dns-perl. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

CVE-2007-3377
On a découvert que libnet-dns-perl générait des identifiants de transaction très faibles lors de l'envoi des requêtes. Cette mise à jour passe la génération des identifiants de transaction au générateur de nombres aléatoires de Perl ce qui rend les attaques par prédiction plus difficiles.
CVE-2007-3409
Les boucles de compression dans les noms de domaines entraînaient une boucle sans fin dans l'extracteur de noms de domaines écrit en Perl. Le paquet de Debian utilise un extracteur écrit en C par défaut, mais cette vulnérabilité est tout de même signalée.
CVE-2007-6341
Le décodage d'enregistrements A mal formés peut conduire à un plantage (par l'intermédiaire d'une exception Perl non interceptée) de certaines applications utilisant libnet-dns-perl.

Pour l'ancienne distribution stable (Sarge), ces problèmes ont été corrigés dans la version 0.48-1sarge1.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.59-1etch1.

Nous vous recommandons de mettre à jour votre paquet libnet-dns-perl.

Corrigé dans:

Debian GNU/Linux 3.1 (sarge)

Source :: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48.orig.tar.gz; http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1.diff.gz; http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1.dsc
Alpha:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_ia64.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_m68k.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.48-1sarge1_sparc.deb

Debian GNU/Linux 4.0 (etch)

Source :: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1.diff.gz; http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59.orig.tar.gz; http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1.dsc
Alpha:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/libn/libnet-dns-perl/libnet-dns-perl_0.59-1etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.