CVE-2020-19861
https://notcve.org/view.php?id=CVE-2020-19861
When a zone file in ldns 1.7.1 is parsed, the function ldns_nsec3_salt_data is too trusted for the length value obtained from the zone file. When the memcpy is copied, the 0xfe - ldns_rdf_size(salt_rdf) byte data can be copied, causing heap overflow information leakage. Cuando es analizado un archivo de zona en ldns versión 1.7.1, la función ldns_nsec3_salt_data es demasiado confiable para el valor de longitud obtenido del archivo de zona. Cuando es copiado el memcpy, los datos de bytes 0xfe - ldns_rdf_size(salt_rdf) pueden ser copiados, causando un filtrado de información por desbordamiento de pila • https://cwe.mitre.org/data/definitions/126.html https://github.com/NLnetLabs/ldns/issues/51 • CWE-125: Out-of-bounds Read •
CVE-2020-19860
https://notcve.org/view.php?id=CVE-2020-19860
When ldns version 1.7.1 verifies a zone file, the ldns_rr_new_frm_str_internal function has a heap out of bounds read vulnerability. An attacker can leak information on the heap by constructing a zone file payload. Cuando ldns versión 1.7.1, verifica un archivo de zona, la función ldns_rr_new_frm_str_internal presenta una vulnerabilidad de lectura fuera de límites de la pila. Un atacante puede filtrar información en la pila al construir una carga útil de archivo de zona • https://github.com/NLnetLabs/ldns/commit/15d96206996bea969fbc918eb0a4a346f514b9f3 https://github.com/NLnetLabs/ldns/issues/50 • CWE-125: Out-of-bounds Read •
CVE-2017-1000232
https://notcve.org/view.php?id=CVE-2017-1000232
A double-free vulnerability in str2host.c in ldns 1.7.0 have unspecified impact and attack vectors. Una vulnerabilidad de doble liberación (double free) en str2host.c en ldns 1.7.0 provoca un impacto y origina vectores de ataque no especificados. • http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00000.html https://www.nlnetlabs.nl/bugs-script/show_bug.cgi?id=1257 • CWE-415: Double Free •
CVE-2017-1000231
https://notcve.org/view.php?id=CVE-2017-1000231
A double-free vulnerability in parse.c in ldns 1.7.0 have unspecified impact and attack vectors. Una vulnerabilidad de doble liberación (double free) en parse.c en ldns 1.7.0 provoca un impacto y origina vectores de ataque no especificados. • http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00000.html https://lists.debian.org/debian-lts-announce/2017/11/msg00028.html https://www.nlnetlabs.nl/bugs-script/show_bug.cgi?id=1256 • CWE-415: Double Free •
CVE-2014-3209
https://notcve.org/view.php?id=CVE-2014-3209
The ldns-keygen tool in ldns 1.6.x uses the current umask to set the privileges of the private key, which might allow local users to obtain the private key by reading the file. La herramienta Idns-keygen en Idns 1.6.x utiliza la umask actual para configurar los privilegios de la clave privada, lo que podría permitir a usuarios locales obtener la clave privada mediante la lectura del archivo. • http://www.openwall.com/lists/oss-security/2014/05/03/2 http://www.openwall.com/lists/oss-security/2014/05/05/4 http://www.securityfocus.com/bid/67200 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=746758 https://www.nlnetlabs.nl/bugs-script/show_bug.cgi?id=573 • CWE-264: Permissions, Privileges, and Access Controls •