Рекомендация Debian по безопасности

DSA-3108-1 ntp -- обновление безопасности

Дата сообщения:
20.12.2014
Затронутые пакеты:
ntp
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 773576.
В каталоге Mitre CVE: CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296.
Более подробная информация:

В пакете ntp, реализации Network Time Protocol, были обнаружены несколько уязвимостей.

  • CVE-2014-9293

    ntpd создаёт слабый ключ для внутреннего использования, имеющий полные административные привилегии. Злоумышленники могут использовать этот ключ для изменения настроек ntpd (либо для использования других уязвимостей).

  • CVE-2014-9294

    Утилита ntp-keygen создаёт слабые ключи MD5 с недостаточной энтропией.

  • CVE-2014-9295

    ntpd содержит несколько переполнений буфера (и в стеке, и в данных), позволяющих удалённым аутентифицированным злоумышленникам аварийно завершать работу ntpd, либо потенциально выполнять произвольный код.

  • CVE-2014-9296

    Функция обработки пакетов в ntpd неправильно обрабатывает состояние ошибки.

Настройки ntpd по умолчанию в Debian ограничивают доступ к локальной машине (вероятно, также и смежной сети в случае IPv6).

Ключи, созданные с помощью команды "ntp-keygen -M", должны быть созданы заново.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1:4.2.6.p5+dfsg-2+deb7u1.

Рекомендуется обновить пакеты ntp.