Säkerhetsbulletin från Debian

DSA-3154-1 ntp -- säkerhetsuppdatering

Rapporterat den:
2015-02-05
Berörda paket:
ntp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-9750, CVE-2014-9751.
Ytterligare information:

Flera sårbarheter har upptäckts i paketet ntp, en implementation av Network Time Protocol. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2014-9750

    Stephen Roettger från Googles säkerhetsgrupp, Sebastian Krahmer från SUSE's säkerhetsgrupp och Harlan Stenn från Network Time Foundation upptäckte att längdvärdet i utökningsfält inte valideras tillräckligt i flera kodvägar i ntp_crypto.c, vilket kunde leda till informationsläckage eller överbelastning (ntpd-krasch).

  • CVE-2014-9751

    Stephen Roettger från Googles säkerhetsgrupp rapporterade att ACLer baserade på IPv6 ::1-adresser kan förbigås.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1:4.2.6.p5+dfsg-2+deb7u2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1:4.2.6.p5+dfsg-4.

Vi rekommenderar att ni uppgraderar era ntp-paket.