[Debian] Schwachstelle in der Bibliothek Ldns – DSA-2353-1

[Debian] Schwachstelle in der Bibliothek Ldns - DSA-2353-1

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-3581 – Schwachstelle in ldns

Die Bibliothek ldns beinhaltet in der Funktion
“ldns_rr_new_frm_str_internal()” einen Fehler bei der Verarbeitung von
unbekannten Resource-Record-Types, der zu einem Heap Overflow fuehren
kann. Dieser kann von einem Angreifer ausgenutzt werden, um beliebige
Befehle mit den Rechten des verwendeten Programms auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket ldns in Debian GNU/Linux 5.0 (lenny) vor Version 1.4.0-1+lenny2
Paket ldns in Debian GNU/Linux 6.0 (squeeze) vor Version
1.6.6-2+squeeze1
Paket ldns in Debian GNU/Linux unstable (sid) vor Version 1.6.11-1

Debian GNU/Linux 5.0 (lenny)
Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux unstable (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

19. DFN Workshop “Sicherheit in vernetzten Systemen”
am 21./22. Februar 2012 im Grand Hotel Elysee in Hamburg

– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

– – ————————————————————————-
Debian Security Advisory DSA-2353-1 security@debian.org
http://www.debian.org/security/ Moritz Muehlenhoff
November 24, 2011 http://www.debian.org/security/faq
– – ————————————————————————-

Package : ldns
Vulnerability : buffer overflow
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-3581
Debian Bug :

David Wheeler discovered a buffer overflow in ldns’s code to parse
RR records, which could lead to the execution of arbitrary code.

For the oldstable distribution (lenny), this problem has been fixed in
version 1.4.0-1+lenny2.

For the stable distribution (squeeze), this problem has been fixed in
version 1.6.6-2+squeeze1.

For the unstable distribution (sid), this problem has been fixed in
version 1.6.11-1.

We recommend that you upgrade your ldns packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAk7Ot7kACgkQXm3vHE4uylrSowCffpsMakzfAC5Gk3x6sLCZhzri
yCoAn1o67u1L+YmV+qF0hMNfeceT9JcQ
=y8ze
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOz57wAAoJEJtyb8U7iGZBlaUH/0NjBeMGuy/hqfgcFzjWNQdB
B7pTxD/NX3aweIxd/3a+kDbISrJLzGppHC5wXHcdP2gKNGqqaNNWi4LK8qOXyQtM
C4pr17J02SfBAtTChxmiX1vDrEMPXu/4oQsrqmdWzrlhuRnpsJM1YwYbIn4UX/cX
MB//D7ZPHFKkrT/JYZXYXL6gj87ByY+MAxxe0v2l4v6qzrfm3Pe8tILpId2WyOXK
etrvzrKEJijMHu2c9ZMO6cSf2PfaKvLndHnBknYOvPCqCqOq2ETtoThK+AVcf/U+
JnrZTommeNaKXFPMLLCF06v3GD8cb/kzUqTDqdWGFutPOfaELofAbiCfCg2QHh0=
=UXAA
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben