Delicious Digg Facebook Favorites More Stumbleupon Twitter

Vigil@nce – glibc : boucle infinie de getnetbyname

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer une boucle infinie dans les applications utilisant la fonction getnetbyname() de la glibc, afin de mener un déni de service.

Produits concernés : Unix (plateforme)

Gravité : 1/4

Date création : 15/12/2014

DESCRIPTION DE LA VULNÉRABILITÉ

La fonction getnetbyname() de la glibc convertit un nom de réseau en structure netent. Par exemple « 2.1.in-addr.arpa » est converti en réseau 1.2/16.

Le fichier /etc/nsswitch.conf indique les méthodes à utiliser pour effectuer la résolution. Par exemple, pour résoudre les réseaux avec le service DNS : « networks : dns ».

Cependant, si un serveur DNS retourne une réponse vide, une boucle infinie se produit dans la fonction getanswer_r() du fichier resolv/nss_dns/dns-network.c.

Un attaquant peut donc provoquer une boucle infinie dans les applications utilisant la fonction getnetbyname() de la glibc, afin de mener un déni de service.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/g…

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.