Bulletin d'alerte Debian

DLA-193-1 chrony -- Mise à jour de sécurité pour LTS

Date du rapport :
12 avril 2015
Paquets concernés :
chrony
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 782160.
Dans le dictionnaire CVE du Mitre : CVE-2015-1821, CVE-2015-1822, CVE-2015-1853.
Plus de précisions :
  • CVE-2015-1853:

    Protection des associations NTP symétriques authentifiées contre les attaques par déni de service.

    Un attaquant qui sait que les hôtes NTP A et B sont pairs entre eux (association symétrique) peut envoyer un paquet avec des horodatages aléatoires à l'hôte A avec l'adresse source de B qui réglera les variables d'état NTP sur A selon les valeurs envoyées par l'attaquant. L'hôte A enverra, à sa prochaine interrogation de B, un paquet avec l'horodatage d'origine qui ne correspond pas à l'horodatage transmis de B et le paquet sera rejeté. Si l'attaquant fait cela régulièrement pour les deux hôtes, ils seront incapables de se synchroniser entre eux. C'est une attaque par déni de service.

    Selon la page https://www.eecis.udel.edu/~mills/onwire.html, l'authentification NTP est censée protéger les associations symétriques de ces attaques, mais dans les spécifications NTPv3 (RFC 1305) et NTPv4 (RFC 5905) les variables d'état sont mises à jour avant que la vérification d'authentification ne soit réalisée ce qui signifie que l'association est vulnérable à l'attaque même quand l'authentification est activée.

    Pour corriger ce problème, l'enregistrement des horodatages d'origine et local est seulement fait lorsque la vérification d'authentification (test5) a été réussie.

  • CVE-2015-1821:

    Correction de la configuration d'accès avec une taille de sous-réseau indivisible par 4.

    Lorsque l'accès à NTP ou cmdmon était configuré (dans chrony.conf ou à l'aide d'un cmdmon authentifié) avec une taille de sous-réseau indivisible par 4 et une adresse qui avait des bits non nuls dans le reste de sous-réseau de 4 bits (par exemple 192.168.15.0/22 ou f000::/3), la nouvelle configuration était écrite à un emplacement incorrect, éventuellement en dehors du tableau alloué.

    Un attaquant qui a la clé de commande et a le droit d'accéder à cmdmon (par défaut, seul localhost est autorisé) pourrait exploiter cela pour planter chronyd ou éventuellement exécuter du code arbitraire avec les droits du processus de chronyd.

  • CVE-2015-1822:

    Correction de l'initialisation des emplacements de réponse pour les commandes authentifiées.

    Lors de l'allocation de mémoire pour stocker des réponses de non-réception à des requêtes de commandes authentifiées, le dernier pointeur next n'était pas initialisé à NULL. Quand tous les emplacements de réponse alloués sont utilisés, la réponse suivante pourrait être écrite dans un emplacement mémoire non valable plutôt que d'être alloué à un nouvel emplacement.

    Un attaquant qui a la clé de commande et a le droit d'accéder à cmdmon (par défaut, seul localhost est autorisé) pourrait exploiter cela pour planter chronyd ou éventuellement exécuter du code arbitraire avec les droits du processus de chronyd.