Säkerhetsbulletin från Debian
DSA-1992-1 chrony -- flera sårbarheter
- Rapporterat den:
- 2010-02-04
- Berörda paket:
- chrony
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2010-0292, CVE-2010-0293, CVE-2010-0294.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i chrony, en uppsättning program som används för att behålla en korrekt systemklocka på en dator. Dessa problem likar säkerhetsbristen i NTP CVE-2009-3563. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2010-0292
chronyd svarar på alla cmdmon-paket med NOHOSTACCESS-meddelanden, även för oautentiserade värdar. En angripare kan använda detta beteende för att få två instanser av chronyd att spela paket-ping-pong, genom att skicka ett sådant paket med låtsad källadress och -port. Detta resulterar i hög CPU- och nätverksförbrukning och alltså överbelastningstillstånd.
- CVE-2010-0293
Klientloggningsfunktionaliteten i chronyd begränsar inte minnet som används för att lagra klientinformation. En angripare kan få chronyd att allokera stora mängder minne genom att skicka NTP- eller cmdmon-paket med låtsad källadress, vilket resulterar i att minnet tar slut.
- CVE-2010-0294
chronyd saknar kontroll över någon slags hastighetsbegränsning vid användning av syslog, när emottagna paket tas emot från oautentiserade värdar. Detta möjliggör för en angripare att orsaka överbelastningstillstånd genom att fylla loggarna och på detta sätt förbruka diskutrymme genom att upprepat skicka ogiltigta cmdmon-paket.
För den gamla stabila utgåvan (Etch) har detta problem rättats i version 1.21z-5+etch1.
För den stabila utgåvan (Lenny) har detta problem rättats i version 1.23-6+lenny1.
För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) kommer detta problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era chrony-paket.
- CVE-2010-0292
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1.dsc
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1.diff.gz
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.21z-5+etch1_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1.dsc
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23.orig.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/chrony/chrony_1.23-6+lenny1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.