USN-803-1 : Vulnérabilité dans DHCP
Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 6.06 LTS : | |||
| dhcp3-client | 3.0.3-6ubuntu7.1 | ||
| dhcp3-client-udeb | 3.0.3-6ubuntu7.1 | ||
| Ubuntu 8.04 LTS : | |||
| dhcp3-client | 3.0.6.dfsg-1ubuntu9.1 | ||
| dhcp3-client-udeb | 3.0.6.dfsg-1ubuntu9.1 | ||
| Ubuntu 8.10 : | |||
| dhcp3-client | 3.1.1-1ubuntu2.1 | ||
| dhcp3-client-udeb | 3.1.1-1ubuntu2.1 | ||
| Ubuntu 9.04 : | |||
| dhcp3-client | 3.1.1-5ubuntu8.1 | ||
| dhcp3-client-udeb | 3.1.1-5ubuntu8.1 | ||
Après une mise à niveau standard du système vous devrez redémarrer toutes les connexions réseau DCHP qui utilisent dhclient3 pour apporter les modifications nécessaires.
Détails :
Il a été decouvert que le client DHCP tel qu’il est inclu dans dhcp3 ne vérifiait pas la longueur de certains champs d’option lors du traitement d’une réponse provenant d’une serveur dhcp IPv4. Si un utilisateur exécutant Ubuntu 6.06 LTS ou 8.04 LTS se connectait à un serveur dhcp malveillant, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire sous l’identité de l’utilisateur exécutant l’application, typiquement l’utilisateur ‘dhcp’. Pour les utilisateurs de Ubuntu 8.10 ou 9.04, un attaquant distant pourrait seulement causer un déni de service dans le client DHCP. Dans Ubuntu 9.04, les attaquants seraient également isolés par le profil dhclient3 de AppArmor.
Source : USN-803-1: dhcp vulnerability
