Sikkerhedsoplysninger / 2020 / Sikkerhedsoplysninger -- DSA-4689-1 bind9

Debians sikkerhedsbulletin

DSA-4689-1 bind9 -- sikkerhedsopdatering

Rapporteret den:

19. maj 2020

Berørte pakker:

bind9

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 945171.
I Mitres CVE-ordbog: CVE-2019-6477, CVE-2020-8616, CVE-2020-8617.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i BIND, en DNS-serverimplementering.

• CVE-2019-6477

  Man opdagede at TCP-pipelinede forespørgsler kunne omgå tcp-client-begrænsninger, medførende lammelsesangreb.

• CVE-2020-8616

  Man opdagede at BIND ikke på tilstrækkelig vis begrænsede antallet af udførte fetches, når der behandles referrals. En angriber kunne drage nytte af fejlen til at forårsage et lammelsesangreb (forringelse af ydeevne) eller anvende rekursionsserveren i et reflection-angreb med en høj forstærkelsesfaktor.

• CVE-2020-8617

  Man opdagede at en logisk fejl i koden, der kontrollerer TSIG-gyldighed, kunne anvendes til at udløse en assertion failure, medførende lammelsesangreb.

I den gamle stabile distribution (stretch), er disse problemer rettet i version 1:9.10.3.dfsg.P4-12.3+deb9u6.

I den stabile distribution (buster), er disse problemer rettet i version 1:9.11.5.P4+dfsg-5.1+deb10u1.

Vi anbefaler at du opgraderer dine bind9-pakker.

For detaljeret sikkerhedsstatus vedrørende bind9, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/bind9