セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2370-1 unbound

Debian セキュリティ勧告

DSA-2370-1 unbound -- 複数の脆弱性

報告日時:

2011-12-22

影響を受けるパッケージ:

unbound

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-4528, CVE-2011-4869.

詳細:

再帰 DNS リゾルバ Unbound に、欠陥が発見されました。ドメインの権限を 持つ (Authoritative) DNS サーバからの不正な DNS レスポンスの処理で Unbound がクラッシュするため、サービス拒否攻撃が可能です。

• CVE-2011-4528

  Unbound は、署名されたゾーンでの重複した CNAME レコードを処理 する際に、割り当てられていないメモリの解放を試みます。

• CVE-2011-4869

  Unbound は、想定する NSEC3 レコードを欠く不正な形式のレスポン スを適切に処理できません。

旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題 はバージョン 1.4.6-1~lenny2 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題は バージョン 1.4.6-1+squeeze2 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 1.4.14-1 で修正されています。

直ぐに unbound パッケージをアップグレードすることを勧めます。