Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3629-1 ntp

Debians sikkerhedsbulletin

DSA-3629-1 ntp -- sikkerhedsopdatering

Rapporteret den:

25. jul 2016

Berørte pakker:

ntp

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-7974, CVE-2015-7977, CVE-2015-7978, CVE-2015-7979, CVE-2015-8138, CVE-2015-8158, CVE-2016-1547, CVE-2016-1548, CVE-2016-1550, CVE-2016-2516, CVE-2016-2518.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i dæmon- og utilityprogrammerne til Network Time Protocol:

• CVE-2015-7974

  Matt Street opdagede at utilstrækkelig nøglevalidering tillod imitationsangreb mellem autentificerede peers.

• CVE-2015-7977 CVE-2015-7978

  Stephen Gray opdagede at en NULL-pointerdereference og et bufferoverløb i håndteringen af ntpdc reslist-kommandoer kunne medføre lammelsesangreb (denial of service).

• CVE-2015-7979

  Aanchal Malhotra opdagede at hvis NTP er opsat til broadcast-tilstand, kunne en angriber sende misdannede autentifikationspakker, hvilket ødelagde associationer med serveren, for andre broadcast-klienter.

• CVE-2015-8138

  Matthew van Gundy og Jonathan Gardner opdagede at manglende validering af ophavstidsstemplinger i ntpd-klienter kunne medføre lammelsesangreb.

• CVE-2015-8158

  Jonathan Gardner opdagede at manglende fornuftighedskontrol af inddata i ntpq kunne medføre lammelsesangreb.

• CVE-2016-1547

  Stephen Gray og Matthew van Gundy opdagede at ukorrekt håndtering af crypto-NAK-pakker kunne medføre lammelsesangreb.

• CVE-2016-1548

  Jonathan Gardner og Miroslav Lichvar opdagede at ntpd-klienter kunne tvinges til at skifte fra basal klient-/servertilstand til interleaved, symmetrisk tilstand, hvilket forhindrede tidssynkronisering.

• CVE-2016-1550

  Matthew van Gundy, Stephen Gray og Loganaden Velvindron opdagede at timinglækager i pakkeautentifikationskode, kunne medføre gendannelse af en meddelelsesdigest.

• CVE-2016-2516

  Yihan Lian opdagede at duplikerede IP'er på unconfig-direktiver, udløste en assert.

• CVE-2016-2518

  Yihan Lian opdagede at en OOB-hukommelsestilgang potentielt kunne få ntpd til at gå ned.

I den stabile distribution (jessie), er disse problemer rettet i version 1:4.2.6.p5+dfsg-7+deb8u2.

I distributionen testing (stretch), er disse problemer rettet i version 1:4.2.8p7+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1:4.2.8p7+dfsg-1.

Vi anbefaler at du opgraderer dine ntp-pakker.