S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 janvier 2012
N° CERTA-2012-AVI-016
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans PowerDNS

Gestion du document

Référence CERTA-2012-AVI-016
Titre Vulnérabilité dans PowerDNS
Date de la première version13 janvier 2012
Date de la dernière version13 janvier 2012
Source(s) Bulletin de sécurité PowerDNS Authoritative Server du 10 janvier 2012

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance

Systèmes affectés

  • PowerDNS Authoritative Server versions 2.x inférieures à la 2.9.22.5 ;
  • PowerDNS Authoritative Server versions 3.x inférieures à la 3.0.1.

Résumé

Un attaquant peut réaliser un déni de service à distance à l'aide de paquets UDP spécialement conçus.

Description

Une erreur dans le traitement des paquets « réponse DNS » par PowerDNS permet à un attaquant, au moyen de paquets UDP spécialement conçus, d'épuiser les ressources systèmes en forçant le serveur à répondre en boucle à ses propres réponses.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 janvier 2012
    version initiale.