Bulletin d'alerte Debian

DLA-116-1 ntp -- Mise à jour de sécurité pour LTS

Date du rapport :
20 décembre 2014
Paquets concernés :
ntp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 773576.
Dans le dictionnaire CVE du Mitre : CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le paquet ntp, une implémentation du Network Time Protocol.

  • CVE-2014-9293

    Ntpd génère une clé faible à usage interne, avec les privilèges d'administrateur complets. Des attaquants pourraient utiliser cette clé pour reconfigurer ntpd (ou pour exploiter d'autres vulnérabilités).

  • CVE-2014-9294

    L'utilitaire ntp-keygen générait des clés MD5 faibles avec une entropie insuffisante.

  • CVE-2014-9295

    Ntpd avait plusieurs dépassements de tampon (à la fois dans la pile et dans la section des données), permettant à des attaquants distants authentifiés de faire planter ntpd ou éventuellement d’exécuter du code arbitraire.

  • CVE-2014-9296

    La fonction générale de traitement de paquet de ntpd ne traitait pas un cas d'erreur correctement.

La configuration par défaut de ntpd dans Debian restreint l'accès à localhost (et éventuellement au réseau adjacent dans le cas d'IPv6).

Les clés générées explicitement par la commande « ntp-keygen -M » devraient être régénérées.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 4.2.6.p2+dfsg-1+deb6u1.

Nous vous recommandons de mettre à jour vos paquets heirloom-mailx.

Merci à Florian Weimer pour la mise à jour de sécurité de Red Hat.