Bulletin d'alerte Debian

DLA-414-1 chrony -- Mise à jour de sécurité pour LTS

Date du rapport :
12 février 2016
Paquets concernés :
chrony
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 812923.
Dans le dictionnaire CVE du Mitre : CVE-2016-1567.
Plus de précisions :

Les versions de chrony antérieures à 1.31.2 et 2.x antérieures à 2.2.1 ne vérifient pas les appariements de clés symétriques lors de l'authentification de paquets, ce qui pourrait permettre à des attaquants distants de mener des attaques d'usurpation d'identité à l'aide d'une clé de confiance arbitraire, aussi appelée « passe-partout ».