Долгосрочная поддержка Debian / Информация о безопасности LTS / 2014 / Информация о безопасности -- DLA-116-1 ntp

Рекомендация Debian по безопасности

DLA-116-1 ntp -- обновление безопасности LTS

Дата сообщения:

20.12.2014

Затронутые пакеты:

ntp

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 773576.
В каталоге Mitre CVE: CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296.

Более подробная информация:

В пакете ntp, реализации протокола сетевого времени, было обнаружено несколько уязвимостей.

• CVE-2014-9293

  ntpd создаёт слабый ключ для внутреннего использования, ключ имеет полные административные права. Злоумышленники могут использовать этот ключ для изменения настроек ntpd (или для использования других уязвимостей).

• CVE-2014-9294

  Утилита ntp-keygen создаёт слабые ключи MD5 с недостаточной энтропией.

• CVE-2014-9295

  ntpd содержит несколько переполнений буфера (связаны и со стеком, и с данными), что позволяет удалённым аутентифицированным злоумышленникам аварийно завершать работу ntpd или потенциально выполнять произвольный код.

• CVE-2014-9296

  Общая функция для выполнения грамматического разбора пакетов в ntpd неправильно обрабатывает ошибки.

По умолчанию настройки ntpd в Debian ограничивают доступ к локальной машине (возможно, также и смежной сети в случае использования IPv6).

Ключи, созданные явным образом с помощью "ntp-keygen -M", следует создать заново.

<

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 4.2.6.p2+dfsg-1+deb6u1.

Рекомендуется обновить пакеты heirloom-mailx.

Благодарим Флориана Ваймера за обновление безопасности для Red Hat.