Risque
- Déni de service à distance
Systèmes affectés
Les versions de la bibliothèque Perl Net::DNS antérieures à 0.63.
Résumé
Une vulnérabilité a été identifiée dans la bibliothèque Perl Net::DNS. Une personne pourrait profiter de cette dernière en construisant et en envoyant une réponse DNS construite de manière particulière, afin de perturber à distance le système vulnérable.
Description
Une vulnérabilité a été identifiée dans la bibliothèque Perl Net::DNS, et plus précisément dans le fichier Net/DNS/RR/A.pm. Il y aurait un mauvais contrôle effectué sur la taille d'une adresse IP. Cette bibliothèque peut être nécessaire au fonctionnement d'applications tierces, comme SpamAssassin ou OTRS.
Une personne malveillante pourrait construire un paquet de réponse DNS particulier, afin de perturber le système distant vulnérable.
Solution
Se référer à la mise à jour 0.63 de la bibliothèque Perl (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 1515 du 11 mars 2008 : http://www.debian.org/security/2008/dsa-1515
- Note de mise à jour 0.63 de la bibliothèque Perl Net::DNS du 08 février 2008 : http://search.cpan.org/src/OLAF/Net-DNS-0.63/Changes
- Rapport de bogue CPAN numéro 30316 : https://rt.cpan.org/Public/Bug/Display.html?id=30316
- Référence CVE CVE-2007-6341 https://www.cve.org/CVERecord?id=CVE-2007-6341
