Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5251-1 isc-dhcp

Bulletin d'alerte Debian

DSA-5251-1 isc-dhcp -- Mise à jour de sécurité

Date du rapport :

6 octobre 2022

Paquets concernés :

isc-dhcp

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1021320.
Dans le dictionnaire CVE du Mitre : CVE-2022-2928, CVE-2022-2929.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le client, relais et serveur DHCP ISC.

• CVE-2022-2928

  Le serveur DHCP ne réalisait pas correctement le compte de références d'option quand il est configuré avec allow leasequery;. Un attaquant distant pouvait tirer avantage de ce défaut pour provoquer un déni de service (plantage du démon).

• CVE-2022-2929

  Le serveur DHCP était prédisposé à un défaut de fuite de mémoire lors du traitement du contenu des données de l'option 81 (fqdn) reçues dans un paquet DHCP. Un attaquant distant pouvait tirer avantage de ce défaut pour provoquer une consommation excessive de ressources par les serveurs DHCP, avec pour conséquence un déni de service.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 4.4.1-2.3+deb11u1.

Nous vous recommandons de mettre à jour vos paquets isc-dhcp.

Pour disposer d'un état détaillé sur la sécurité de isc-dhcp, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/isc-dhcp.