Bulletin d'alerte Debian

DLA-559-1 ntp -- Mise à jour de sécurité pour LTS

Date du rapport :
25 juillet 2016
Paquets concernés :
ntp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-7974, CVE-2015-7977, CVE-2015-7978, CVE-2015-7979, CVE-2015-8138, CVE-2015-8158, CVE-2016-1547, CVE-2016-1548, CVE-2016-1550, CVE-2016-2516, CVE-2016-2518.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le démon du protocole NTP (« Network Time Protocol ») et des utilitaires :

  • CVE-2015-7974

    Matt Street a découvert qu'une validation de clé insuffisante permet des attaques par usurpation d'identité entre pairs authentifiés.

  • CVE-2015-7977 / CVE-2015-7978

    Stephen Gray a découvert qu'un déréférencement de pointeur NULL et un dépassement de tampon dans le traitement des commandes ntpdc reslist peuvent avoir pour conséquence un déni de service.

  • CVE-2015-7979

    Aanchal Malhotra a découvert que si NTP est configuré en mode diffusion, un attaquant peut envoyer des paquets d'authentification mal formés qui brisent l'association avec le serveur d'autres clients de diffusion.

  • CVE-2015-8138

    Matthew van Gundy et Jonathan Gardner ont découvert que l'absence de validation des estampilles temporelles d'origine dans les clients ntpd peut avoir pour conséquence un déni de service.

  • CVE-2015-8158

    Jonathan Gardner a découvert que l'absence de vérification des entrées dans ntpq peut avoir pour conséquence un déni de service.

  • CVE-2016-1547

    Stephen Gray et Matthew van Gundy ont découvert qu'un traitement incorrect de paquets crypto-NAK peut avoir pour conséquence un déni de service.

  • CVE-2016-1548

    Jonathan Gardner et Miroslav Lichvar ont découvert que des clients ntpd pourraient être contraints de passer du mode basique client/serveur au mode entrelacé symétrique, empêchant la synchronisation de l'heure.

  • CVE-2016-1550

    Matthew van Gundy, Stephen Gray et Loganaden Velvindron ont découvert que des fuites de temporisation dans le code d'authentification de paquet pourraient avoir pour conséquence la récupération d'un condensé de message.

  • CVE-2016-2516

    Yihan Lian a découvert que des adresses IP dupliquées dans des directives unconfig déclenchent une assertion.

  • CVE-2016-2518

    Yihan Lian a découvert qu'un accès mémoire hors limites pourrait éventuellement planter ntpd.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-2+deb7u7.

Nous vous recommandons de mettre à jour vos paquets ntp.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.