Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Perl Net::DNS Module : Deux Vulnérabilités

27/06/2007 13H33
Référence Secunia : SA25829 
Date de publication : 2007-06-27

Risque : Non Critique. Niveau 2 sur 5.
Impact : Spoofing, DoS
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Net::DNS 0.x (module pour Perl)

Référence CVE :
CVE-2007-3409



Description :
Deux vulnérabilités ont été identifiées dans le Net::DNS Perl module, qui pourrait être exploitée pour empoisonner le cache DNS ou pour causer un Déni de Service (DoS).

1) Une erreur existe dans l'interprétation de requêtes DNS où les IDs sont incrementés avec une valeur fixe et sont en plus utilisés pour processus fils dans un serveur forking. Cela pourrait être exploité pour empoisonner le cache DNS d'une application en utilisant le module si un ID valide est demandé.

2) Une erreur dans l'implémentation PP dans la fonction "dn_expand()" pourrait être exploitée pour causer un débordement de la pile (stack overflow) du fait d'une boucle sans fin via un paquet DNS spécialement conçu.

Les vulnérabilités sont rapportées en versions inférieures à 0.60.


Solutions :
Mettre à jour en version 0.60.


Vulnérabilité découverte par :

L'éditeur crédite:
1) hjp
2) Steffen Ullrich

Référence :
http://www.net-dns.org/docs/Changes.html
http://rt.cpan.org/Public/Bug/Display.html?id=23961
http://rt.cpan.org/Public/Bug/Display.html?id=27285




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.