Összefoglaló 2015-09-09

BIND biztonsági frisítés

2015-09-03

Internet Systems Consortium (ISC) Releases Security Updates for BIND

Az Internet Systems Consortium (ISC) biztonsági frissítést tett közzé több BIND sérülékenység javítására. Ezen sérülékenységeket kihasználva a távoli támadó szolgáltatás megtagadást érhet el.

Az egyik kritikus besorolású sérülékenység (CVE-2015-5986), hogy egy hibás “boundary check” a openpgpkey_61.c függvényben a “named” démon kilépést okozza REQUIRE assertion hibával. Ezt a sérülékenységet szándékosan ki tudja használni az a támadó, aki egy rosszindulatúan szerkesztett választ ad a lekérdezésre.

A másik szintén kritikus besorolású sérülékenység (CVE-2015-5722), hogy a rosszuzl formázott DNSSEC kulcs elemzése az ellenörző resolver kilépést okozza a bind.c függvényben fellépő “failed assertion” miatt. A távoli támadó szándékosan előidézheti ezt olyan lekérdezésekkel, melyekre olyan zónákból kell válasznak érkeznie, melyek szándékosam rosszul formázott kulcsot tartalmaznak.

Az elérhető frissítések az alábbiak:

BIND 9 version 9.9.7-P3

BIND 9 version 9.10.2-P4

A sérülékenységek leírása megtalálható az ISC tudásbázisának alábbi cikkeiben:

AA-01291; AA-01287

További információk találhatók, az alábbi linkeken:

https://www.us-cert.gov/ncas/current-activity/2015/09/02/Internet-Systems-Consortium-ISC-Releases-Security-Updates-BIND

https://kb.isc.org/article/AA-01301

https://kb.isc.org/article/AA-01300

 

GnuTLS sérülékenységek

2015-09-07

Duplán felszabadított memória sérülékenység a lib/x509/x509_ext.c programkódban teszi lehetővé, hogy a GnuTLS 3.3.14-et megelőző verzióiban egy távoli támadó szolgáltatás megtagadást idézzen elő vagy egyéb nem várt hatást okozzon a helytelenül kezelt CRL eltosztási pontok értelmezése során. (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6251)

A GnuTLS 3.3.17-t megelőző valamint a 3.4.4-t megelőző 3.4.x verzióiban ugyancsak egy duplán felszabadított memória sérülékenység lehetővé teszi, hogy egy távoli támadó szolgáltatás megtagadást idézzen elő egy tanusítványban elhelyezett hosszú DistinguishedName (DN) bejegyzéssel. (CVE-2015-6251)

Javasolt a program frissítése a legutolsó verziókra.

További információk találhatók az alábbi linkeken:

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6251

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3308

http://www.ubuntu.com/usn/USN-2727-1/