Bulletin d'alerte Debian

DSA-3223-1 ntp -- Mise à jour de sécurité

Date du rapport :
12 avril 2015
Paquets concernés :
ntp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 782095.
Dans le dictionnaire CVE du Mitre : CVE-2015-1798, CVE-2015-1799, CVE-2015-3405.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans ntp, une implémentation du Network Time Protocol :

  • CVE-2015-1798

    Lorsqu'il est configuré pour utiliser une clé symétrique avec un pair NTP, ntpd pourrait accepter des paquets sans code d'identification de message (MAC) comme s'ils avaient un MAC valable. Cela pourrait permettre à un attaquant distant de contourner l'authentification de paquet et d'envoyer des paquets malveillants sans avoir besoin de connaître la clé symétrique.

  • CVE-2015-1799

    Lorsqu'il s'apparie avec d'autres hôtes NTP en utilisant une association symétrique authentifiée, ntpd actualiserait ses variables d'état internes avant que le MAC des messages NTP soit validé. Cela pourrait permettre à un attaquant distant de provoquer un déni de service en empêchant la synchronisation entre les pairs NTP.

En outre, il a été découvert que la génération de clés MD5 à l'aide de ntp-keygen sur des machines grand boutistes déclencherait une boucle sans fin ou générerait des clés non aléatoires.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-2+deb7u4.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-7.

Nous vous recommandons de mettre à jour vos paquets ntp.