Рекомендация Debian по безопасности

DLA-149-1 ntp -- обновление безопасности LTS

Дата сообщения:
07.02.2015
Затронутые пакеты:
ntp
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-9297, CVE-2014-9298.
Более подробная информация:

В пакете ntp, реализации протокола сетевого времени, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-9297

    Стивен Ротгер из команды безопасности Google, Себастиан Крамер из команды безопасности SUSE и Харлан Штенн из Network Time Foundation обнаружили, что значение длины в полях расширения проверяют в нескольких участках кода в ntp_crypto.c неправильно, что может приводить к утечке информации или отказу в обслуживании (аварийная остановка ntpd).

  • CVE-2014-9298

    Стивен Ротгер из команды безопасности Google сообщил, что ACL на основе адресов IPv6 ::1 можно обойти.

В Debian 6 Squeeze эти проблемы были исправлены в ntp версии 1:4.2.6.p2+dfsg-1+deb6u2