Debians sikkerhedsbulletin

DSA-3154-1 ntp -- sikkerhedsopdatering

Rapporteret den:
5. feb 2015
Berørte pakker:
ntp
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-9750, CVE-2014-9751.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i pakken ntp, en implementering af Network Time Protocol. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2014-9750

    Stephen Roettger fra Google Security Team, Sebastian Krahmer fra SUSE Security Team og Harlan Stenn fra Network Time Foundation, opdagede at længdeværdien i udvidelsesfelter, ikke på korrekt vis blev valideret i flere kodestier i ntp_crypto.c, hvilket kunne føre til informationslækage eller lammelsesangreb (nedbrud i ntpd).

  • CVE-2014-9751

    Stephen Roettger fra Google Security Team rapporterede, at ACL'er baseret på IPv6 ::1-adresser, kunne omgås.

I den stabile distribution (wheezy), er disse problemer rettet i version 1:4.2.6.p5+dfsg-2+deb7u2.

I den ustabile distribution (sid), er disse problemer rettet i version 1:4.2.6.p5+dfsg-4.

Vi anbefaler at du opgraderer dine ntp-pakker.