Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3108-1 ntp

Bulletin d'alerte Debian

DSA-3108-1 ntp -- Mise à jour de sécurité

Date du rapport :

20 décembre 2014

Paquets concernés :

ntp

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 773576.
Dans le dictionnaire CVE du Mitre : CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le paquet ntp, une implémentation du Network Time Protocol.

• CVE-2014-9293

  ntpd génère une clé faible à usage interne, avec les privilèges d'administrateur complets. Des attaquants pourraient utiliser cette clé pour reconfigurer ntpd (ou pour exploiter d'autres vulnérabilités).

• CVE-2014-9294

  L'utilitaire ntp-keygen générait des clés MD5 faibles avec une entropie insuffisante.

• CVE-2014-9295

  ntpd avait plusieurs dépassements de tampon (à la fois dans la pile et dans la section des données), permettant à des attaquants distants authentifiés de faire planter ntpd ou éventuellement exécuter du code arbitraire.

• CVE-2014-9296

  La fonction générale de traitement de paquet de ntpd ne traitait pas un cas d'erreur correctement.

La configuration par défaut de ntpd dans Debian restreint l'accès à localhost (et éventuellement au réseau adjacent dans le cas d'IPv6).

Les clés générées explicitement par la commande « ntp-keygen -M » devraient être régénérées.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-2+deb7u1.

Nous vous recommandons de mettre à jour vos paquets ntp.