bind-dyndb-ldap 远程拒绝服务漏洞

漏洞信息详情

bind-dyndb-ldap 远程拒绝服务漏洞

• CNNVD编号：CNNVD-201204-482
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-2134
  
• 漏洞类型：
  
  
  资源管理错误
  
• 发布时间：
  
  2012-04-26
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-02-27
  
• 厂        商：
  
  martin_nagy
• 漏洞来源：
  Red Hat Security R…

bind-dyndb-ldap是一套BIND9（实现了DNS协议的开源软件）的LDAP驱动程序，它允许从LDAP后端读取DNS数据，也能够将数据写回（DNS更新）。

bind-dyndb-ldap 1.1.0rc1之前版本中的ldap_helper.c文件中的‘handle_connection_error’函数存在安全漏洞，该漏洞源于当执行DNS查询LDAP搜索时，程序没有正确处理LDAP的连接错误。远程攻击者可借助基于DN的非字母字符利用该漏洞造成拒绝服务（无限循环和named服务器挂起）。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://git.fedorahosted.org/cgit/bind-dyndb-ldap.git/tree/NEWS

来源: MLIST

名称: [Freeipa-users] 20120424 named-dyndb-ldap looses connection when the LDAP server is under high load

链接:https://www.redhat.com/archives/freeipa-users/2012-April/msg00144.html

来源: git.fedorahosted.org

链接:https://git.fedorahosted.org/cgit/bind-dyndb-ldap.git/tree/NEWS

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=815846

来源: OSVDB

名称: 81619

链接:http://www.osvdb.org/81619

来源: MLIST

名称: [oss-security] 20140424 Re: CVE Request — bind-dyndb-ldap: Bind DoS (named hang) by processing DNS query for zone served by bind-dyndb-ldap

链接:http://www.openwall.com/lists/oss-security/2012/04/24/15

来源: SECUNIA

名称: 48901

链接:http://secunia.com/advisories/48901

来源: REDHAT

名称: RHSA-2012:0683

链接:http://rhn.redhat.com/errata/RHSA-2012-0683.html

来源:SECUNIA

名称:49273

链接:http://secunia.com/advisories/49273

来源: BID

名称: 53236

链接:http://www.securityfocus.com/bid/53236