Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3108-1 ntp

Säkerhetsbulletin från Debian

DSA-3108-1 ntp -- säkerhetsuppdatering

Rapporterat den:

2014-12-20

Berörda paket:

ntp

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 773576.
I Mitres CVE-förteckning: CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296.

Ytterligare information:

Flera sårbarheter har upptäckts i paketet ntp, en implementation av Network Time Protocol.

• CVE-2014-9293

  ntpd genererade en svag nyckel för dess interna användning, med full administrativa rättigheter. Angripare kunde använda denna nyckel för att återkonfigurera ntpd (eller för att exploatera andra sårbarheter).

• CVE-2014-9294

  Verktyget ntp-keygen genererade svaga MD5-nycklar med otillräcklig entropi.

• CVE-2014-9295

  ntpd hade flera buffertspill (både på stacken och i datasektionen), vilket tillät autentiserade fjärrangripare att krascha ntpd eller potentiellt köra godtycklig kod.

• CVE-2014-9296

  Den allmänna paketbehandlingsfunktionen i ntpd hanterade inte ett felläge korrekt.

Standardinställningen för ntpd i Debian begränsar åtkomst till localhost (och möjligen det angränsande nätverket i fallet IPv6).

Nycklar som uttryckligen genererats med hjälpa av "ntp-keygen -M" bör regenereras.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1:4.2.6.p5+dfsg-2+deb7u1.

Vi rekommenderar att ni uppgraderar era ntp-paket.