LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-414-1 chrony

Bulletin d'alerte Debian

DLA-414-1 chrony -- Mise à jour de sécurité pour LTS

Date du rapport :

12 février 2016

Paquets concernés :

chrony

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 812923.
Dans le dictionnaire CVE du Mitre : CVE-2016-1567.

Plus de précisions :

Les versions de chrony antérieures à 1.31.2 et 2.x antérieures à 2.2.1 ne vérifient pas les appariements de clés symétriques lors de l'authentification de paquets, ce qui pourrait permettre à des attaquants distants de mener des attaques d'usurpation d'identité à l'aide d'une clé de confiance arbitraire, aussi appelée « passe-partout ».