Säkerhetsbulletin från Debian
DSA-3154-1 ntp -- säkerhetsuppdatering
- Rapporterat den:
- 2015-02-05
- Berörda paket:
- ntp
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-9750, CVE-2014-9751.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i paketet ntp, en implementation av Network Time Protocol. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2014-9750
Stephen Roettger från Googles säkerhetsgrupp, Sebastian Krahmer från SUSE's säkerhetsgrupp och Harlan Stenn från Network Time Foundation upptäckte att längdvärdet i utökningsfält inte valideras tillräckligt i flera kodvägar i ntp_crypto.c, vilket kunde leda till informationsläckage eller överbelastning (ntpd-krasch).
- CVE-2014-9751
Stephen Roettger från Googles säkerhetsgrupp rapporterade att ACLer baserade på IPv6 ::1-adresser kan förbigås.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1:4.2.6.p5+dfsg-2+deb7u2.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1:4.2.6.p5+dfsg-4.
Vi rekommenderar att ni uppgraderar era ntp-paket.
- CVE-2014-9750