Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
Dnsmasq versions 2.49 et antérieures.
Résumé
Plusieurs vulnérabilités présentes dans Dnsmasq permettent à un utilisteur distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Deux vulnérabilités sont présentes dans Dnsmasq. Elles sont relatives à la mise en œuvre du protocole TFTP et permettent à un utilisateur distant malintentionné de provoquer un déni de service ou d'exécuter du code arbitraire. Dnsmasq doit être compilé avec le support du protocole TFTP pour que la faille soit exploitable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
La version 2.50 corrige le problème :
http://www.thekelleys.org.uk/dnsmasq/
Documentation
- Liste des changements apportés à la version 2.50 de Dnsmasq :
http://www.thekelleys.org.uk/dnsmasq/CHANGELOG
- Référence CVE CVE-2009-2957 :
https://www.cve.org/CVERecord?id=CVE-2009-2957
- Référence CVE CVE-2009-2958 :
https://www.cve.org/CVERecord?id=CVE-2009-2958