CVE-2025-59529

Nome do Software Vulnerável e Versões Afetadas Versões do Avahi até e incluindo a 0.9-rc2

Descrição O Avahi é um sistema que permite a descoberta de serviços em uma rede local usando a suíte de protocolos mDNS/DNS-SD. O servidor de protocolo simples não impõe o limite de clientes documentado, aceitando um número ilimitado de conexões. Isso permite que usuários locais sem privilégios esgotem a memória e os descritores de arquivo do daemon, levando a uma negação de serviço em todo o sistema para mDNS/DNS-SD. O problema origina-se da função server work() aceitar conexões incondicionalmente e da função client new() sempre adicionar novos clientes sem verificar o limite CLIENTS MAX. O esgotamento dos descritores de arquivo locais resulta em aumento da carga do sistema devido ao registro de erros para cada tentativa de conexão. Sobrecarregar o sistema impede que chamadas glibc que utilizam plugins nss-mdns resolvam nomes *.local. e endereços link-local. Ferramentas como avahi-resolve, avahi-resolve-address e avahi-resolve-host-name, que utilizam a interface DBus, não são diretamente afetadas.

Recomendações Versões anteriores a 0.9-rc2 estão afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.