Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Les versions de PowerDNS 3.1.7.1 et les versions précédentes.
Résumé
Deux vulnérabilités dans PowerDNS Recursor permettant l'exécution de code arbitraire à distance et le contournement de la politique de sécurité ont été corrigées.
Description
Deux vulnérabilités dans PowerDNS Recursor ont été corrigées. La première permet à une personne malintentionnée distante de provoquer un déni de service ou d'exécuter du code arbitraire au moyen d'un paquet spéciallement réalisé. La seconde est exploitable au moyen d'une Zone spécialement mise en place afin de tromper PowerDNS Recursor pour qu'il accepte des données malveillantes à destination des utilisateurs du service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 1968-1 du 08 janvier 2010 : http://list.debian.org/debian-security-announce/2010/msg00003.html
- Bulletins de sécurité PowerDNS 2010-01 et 2010-02 du 6 janvier 2010 : http://doc.powerdns.com/powerdns-advisory-2010-02.html
- Bulletins de sécurité PowerDNS 2010-01 et 2010-02 du 6 janvier 2010 : http://doc.powerdns.com/powerdns-advisory-2010-01.html
- Référence CVE CVE-2009-4009 https://www.cve.org/CVERecord?id=CVE-2009-4009
