Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Dnsmasq versions 2.49 et antérieures.
Résumé
Plusieurs vulnérabilités présentes dans Dnsmasq permettent à un utilisteur distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Deux vulnérabilités sont présentes dans Dnsmasq. Elles sont relatives à la mise en œuvre du protocole TFTP et permettent à un utilisateur distant malintentionné de provoquer un déni de service ou d'exécuter du code arbitraire. Dnsmasq doit être compilé avec le support du protocole TFTP pour que la faille soit exploitable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
La version 2.50 corrige le problème :
http://www.thekelleys.org.uk/dnsmasq/
Documentation
- Liste des changements apportés à la version 2.50 de Dnsmasq http://www.thekelleys.org.uk/dnsmasq/CHANGELOG
- Référence CVE CVE-2009-2957 https://www.cve.org/CVERecord?id=CVE-2009-2957
- Référence CVE CVE-2009-2958 https://www.cve.org/CVERecord?id=CVE-2009-2958
