Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3154-1 ntp

Bulletin d'alerte Debian

DSA-3154-1 ntp -- Mise à jour de sécurité

Date du rapport :

5 février 2015

Paquets concernés :

ntp

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-9750, CVE-2014-9751.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le paquet ntp, une implémentation du protocole NTP (Network Time Protocol). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2014-9750

  Stephen Roettger de l'équipe de sécurité de Google, Sebastian Krahmer de l'équipe de sécurité de SUSE et Harlan Stenn de la Network Time Foundation ont découvert que la valeur de longueur dans les champs d'extension n'est pas correctement validée dans plusieurs chemins de code de ntp_crypto.c, ce qui pourrait conduire à une fuite d'informations ou un déni de service (plantage de ntpd).

• CVE-2014-9751

  Stephen Roettger de l'équipe de sécurité de Google a signalé que les listes de contrôle d'accès (ACL) basées sur les adresses IPv6 ::1 pouvaient être contournées.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-2+deb7u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-4.

Nous vous recommandons de mettre à jour vos paquets ntp.