blob: 3ec8f584f9a2f2a95f0c9b5fa95c6d33c02a9156 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>DNS-cacheförgiftning</define-tag>
<define-tag moreinfo>
<p>Flera cacheförgiftningssårbarheter har upptäckts i BIND.
Dessa sårbarheter kan bara utnyttjas om DNSSEC-validering är aktiverad och
tillitsankare har installerats, vilket inte gäller som standard.</p>
<p>Projektet Common Vulnerabilities and Exposures identifierar
följande problem:</p>
<ul>
<li><p><a href="https://security-tracker.debian.org/tracker/CVE-2010-0097">CVE-2010-0097</a>
<p>BIND validerar inte DNSSEC NSEC-poster korrekt, vilket tillåter
angripare utifrån att lägga till AD-flaggan (Authenticated Data) till ett förfalskat
NXDOMAIN-svar för en existerande domän.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-0290">CVE-2010-0290</a>
<p>Vid behandling av specialskrivna svar som innehåller CNAME- eller DNAME-poster,
är BIND sårbar för ett DNS-cacheförgiftningsproblem, under förutsättning att
DNSSEC-validering är aktiverad och tillitsankare har installerats.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-0382">CVE-2010-0382</a>
<p>Vid behandling av särskilda svar som innehåller <q>out-of-bailiwick</q>-data,
är BIND sårbar för ett DNS-cacheförgiftningsproblem, under förutsättning att
DNSSEC-validering är aktiverad och tillitsankare har installerats.</p></li>
</ul>
<p>Dessutom introducerar denna uppdatering ett konservative frågebeteende
vid förekomst av upprepade DNSSEC-valideringsfel, för att ta itu med
<q>rulla runt och dö</q>-fenomenet. Den nya versionen stödjer också den
kryptografiska algoritm som används av den kommande, signerade ICANN DNS-roten
(RSASHA256 från RFC 5702) och den NSEC3-säkra algoritmen för förnekande av existens
som används av några signerade toppnivådomäner.</p>
<p>Denna uppdatering baseras på en ny uppströms version av BIND 9, 9.6-ESV-R1.
På grund av omfattningen av ändringar rekommenderas extra försiktighet vid
installation av uppdateringen. På grund av ABI-förändringar inkluderas nya Debian-paket
och uppdatering måste installeras med hjälp av <q>apt-get
dist-upgrade</q> (eller motsvarande aptitude-kommando).</p>
<p>För den stabila utgåvan (Lenny) har dessa problem rättats i
version 1:9.6.ESV.R1+dfsg-0+lenny1.</p>
<p>För den instabila utgåvan (Sid) har dessa problem rättats i
version 1:9.7.0.dfsg-1.</p>
<p>Vi rekommenderar att ni uppgraderar era bind9-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2054.data"
|
