dnsmasq-2.45-1.1.1AXS3

エラータID: AXSA:2009-389:01

リリース日: 
2009/09/08 Tuesday - 20:00
題名: 
dnsmasq-2.45-1.1.1AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- tftpで --enable-tftp を使用した場合、tftp_request 関数でヒープベースバッファオーバーフローが生じる問題が存在し、リモートの攻撃者がTFTP パケット中の長いファイル名によって任意のコードが実行される可能性がある脆弱性があります。(CVE-2009-2957)

- dnmasq の tftp_request 関数では、--enable-tftp を使用した場合、リモートの攻撃者が不正なブロックサイズオプションを持った TFTP read 要求によってサービス拒否 (ヌルポインタ参照やデーモンのクラッシュ) を引き起こす脆弱性があります。(CVE-2009-2958)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2009-2957
Heap-based buffer overflow in the tftp_request function in tftp.c in dnsmasq before 2.50, when --enable-tftp is used, might allow remote attackers to execute arbitrary code via a long filename in a TFTP packet, as demonstrated by a read (aka RRQ) request.
CVE-2009-2958
The tftp_request function in tftp.c in dnsmasq before 2.50, when --enable-tftp is used, allows remote attackers to cause a denial of service (NULL pointer dereference and daemon crash) via a TFTP read (aka RRQ) request with a malformed blksize option.
追加情報: 

Asianux Server 3 SP2 からのアップデートパッケージです。

ダウンロード: 

SRPMS
  1. dnsmasq-2.45-1.1.1AXS3.src.rpm
    MD5: bc2b4d5347cd60520939c514a6327058
    SHA-256: 632d0c1092fa7394064c018a2139c8e229fa984723edb06a422c97c003bd0f80
    Size: 383.28 kB

Asianux Server 3 for x86
  1. dnsmasq-2.45-1.1.1AXS3.i386.rpm
    MD5: 79956f2174af6adafa16d2afb3329af4
    SHA-256: de4801e3399765c2d0413a885e112e498bde060eedfed7ca36b754ebdd8836c5
    Size: 165.38 kB

Asianux Server 3 for x86_64
  1. dnsmasq-2.45-1.1.1AXS3.x86_64.rpm
    MD5: 23bfa975b5631cb55678efbf7c890fa8
    SHA-256: 427cbea7f124ae4f5f834092b54b500a10adb3b5314ea4bbc93d3490cb576f09
    Size: 168.54 kB