Debians sikkerhedsbulletin
DSA-3154-1 ntp -- sikkerhedsopdatering
- Rapporteret den:
- 5. feb 2015
- Berørte pakker:
- ntp
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-9750, CVE-2014-9751.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i pakken ntp, en implementering af Network Time Protocol. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2014-9750
Stephen Roettger fra Google Security Team, Sebastian Krahmer fra SUSE Security Team og Harlan Stenn fra Network Time Foundation, opdagede at længdeværdien i udvidelsesfelter, ikke på korrekt vis blev valideret i flere kodestier i ntp_crypto.c, hvilket kunne føre til informationslækage eller lammelsesangreb (nedbrud i ntpd).
- CVE-2014-9751
Stephen Roettger fra Google Security Team rapporterede, at ACL'er baseret på IPv6 ::1-adresser, kunne omgås.
I den stabile distribution (wheezy), er disse problemer rettet i version 1:4.2.6.p5+dfsg-2+deb7u2.
I den ustabile distribution (sid), er disse problemer rettet i version 1:4.2.6.p5+dfsg-4.
Vi anbefaler at du opgraderer dine ntp-pakker.
- CVE-2014-9750