LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-742-1 chrony

Bulletin d'alerte Debian

DLA-742-1 chrony -- Mise à jour de sécurité pour LTS

Date du rapport :

13 décembre 2016

Paquets concernés :

chrony

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 812923, Bogue 568492.
Dans le dictionnaire CVE du Mitre : CVE-2016-1567.

Plus de précisions :

Chrony, une implémentation polyvalente du protocole de temps réseau (Network Time Protocol), ne vérifiait pas les associations de clés symétriques pour des pairs lors de l'authentification de paquets. Cela pourrait permettre à des attaquants distants de conduire des attaques d'usurpation d'identité à l'aide d'une clé de confiance arbitraire, aussi appelée passe-partout.

Cette mise à jour résout le bogue n° 568492 de Debian.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.24-3.1+deb7u4.

Nous vous recommandons de mettre à jour vos paquets chrony.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.