Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3223-1 ntp

Debians sikkerhedsbulletin

DSA-3223-1 ntp -- sikkerhedsopdatering

Rapporteret den:

12. apr 2015

Berørte pakker:

ntp

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 782095.
I Mitres CVE-ordbog: CVE-2015-1798, CVE-2015-1799, CVE-2015-3405.

Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i ntp, en implementering af Network Time Protocol:

• CVE-2015-1798

  Når opsat til at anvende en symmetrisk nøgle med en NTP-peer, accepterede ntpd pakker uden MAC, som havde de en gyldig MAC. Dermed kunne det blive muligt for en fjernangriber at omgå pakkeautentifikationen og sende ondsindede pakker, uden at skulle kende den symmetriske nøgle.

• CVE-2015-1799

  Ved peering med andre NTP-værter ved hjælp af autentificeret symmetrisk tilknytning, blev de interne statusvaribler opdateret før MAC'en fra NTP-meddelelserne var blevet valideret. Dermed kunne det blive muligt for en fjernangriber at forårsage et lammelsesangreb (denial of service) ved at hindre synkronisering mellem NTP-peers.

Additionally, it was discovered that generating MD5 keys using ntp-keygen on big endian machines would either trigger an endless loop, or generate non-random keys.

I den stabile distribution (wheezy), er disse problemer rettet i version 1:4.2.6.p5+dfsg-2+deb7u4.

I den ustabile distribution (sid), er disse problemer rettet i version 1:4.2.6.p5+dfsg-7.

Vi anbefaler at du opgraderer dine ntp-pakker.