Debians sikkerhedsbulletin
DSA-1992-1 chrony -- flere sårbarheder
- Rapporteret den:
- 4. feb 2010
- Berørte pakker:
- chrony
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2010-0292, CVE-2010-0293, CVE-2010-0294.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i chrony, et par programmer, der anvendes til at sikre, at en computers systemur går præcist. Problemerne svarer til NTP-sikkerhedsfejlen beskrevet i CVE-2009-3563. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2010-0292
chronyd besvarer alle cmdmon-pakker med NOHOSTACCESS-meddelelser, selv ved uautoriserede værtsmaskiner. En angriber kunne misbruge denne virkemåde, til at tvinge to chronyd'er til at spille pakkebordtennis, ved at sende en sådan pakke med forfalsket kildeadresse og -port. Det medførte et højt CPU- og netværksforbrug, og dermed lammelsesangrebstilstande.
- CVE-2010-0293
Klientlogningsfaciliteten i chronyd begrænser ikke hukommelse, der anvendes til at gemme klientoplysninger. En angriber kunne få chronyd til at allokere store mængder hukommelse, ved at sende NTP- eller cmdmon-pakker med forfalskede kildeadresser, medførende hukommelsesopbrug.
- CVE-2010-0294
chronyd manglede en hyppighedsbegrænsningskontrol i syslogfaciliteten, når der blev logget modtagne pakker fra uautoriserede værtsmaskiner. På den måde var det muligt for en angriber, at forårsage lammelsesangrebstilstande ved at fylde logfilerne op og dermed diskplads, ved at blive ved med at sende ugyldige cmdmon-pakker.
I den gamle stabile distribution (etch), er dette problem rettet i version 1.21z-5+etch1.
I den stabile distribution (lenny), er dette problem rettet i version 1.23-6+lenny1.
I distributionen testing (squeeze) og i den ustabile distribution (sid), vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer dine chrony-pakker.
- CVE-2010-0292
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1.dsc
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1.diff.gz
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1.dsc
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23.orig.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.