Bulletin d'alerte Debian

DLA-149-1 ntp -- Mise à jour de sécurité pour LTS

Date du rapport :
7 février 2015
Paquets concernés :
ntp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9297, CVE-2014-9298.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le paquet ntp, une implémentation du protocole NTP (Network Time Protocol). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2014-9297

    Stephen Roettger de l'équipe de sécurité de Google, Sebastian Krahmer de l'équipe de sécurité de SUSE et Harlan Stenn de la Network Time Foundation ont découvert que la valeur de longueur dans les champs d'extension n'est pas correctement validée dans plusieurs chemins de code de ntp_crypto.c, ce qui pourrait conduire à une fuite d'informations ou un déni de service (plantage de ntpd).

  • CVE-2014-9298

    Stephen Roettger de l'équipe de sécurité de Google a signalé que les listes de contrôle d'accès (ACL) basées sur les adresses IPv6 ::1 pouvaient être contournées.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1:4.2.6.p2+dfsg-1+deb6u2 de ntp.