Debians sikkerhedsbulletin
DSA-3222-1 chrony -- sikkerhedsopdatering
- Rapporteret den:
- 12. apr 2015
- Berørte pakker:
- chrony
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 782160.
I Mitres CVE-ordbog: CVE-2015-1821, CVE-2015-1822, CVE-2015-1853. - Yderligere oplysninger:
-
Miroslav Lichvar fra Red Hat opdagede adskillige sårbarheder i chrony, en alternativ NTP-klient og -server:
- CVE-2015-1821
Anvendelse af bestemte adresse-/subnet-sæt ved opsætning af en adgangskontrol, forårsagede en ugyldig hukommelsesskrivning. Dermed kunne det blive muligt for angribere at forårsage et lammelsesangreb (nedbrud) eller udføre vilkårlig kode.
- CVE-2015-1822
Ved allokering af hukommelse til at gemme ikke-anerkendte svar til uautoriserede forespørgsler, blev en pointer efterladt i uinitialiseret tilstand, hvilket kunne udløse en ugyldig hukommelsesskrivning. Dermed kunne det blive muligt for uautoriserede angribere at forårsage et lammelsesangreb (nedbrud) eller udføre vilkårlig kode.
- CVE-2015-1853
Ved peering med andre NTP-værter ved hjælp af autentificeret symmetrisk tilknytning, blev de interne statusvaribler opdateret før MAC'en fra NTP-meddelelserne var blevet valideret. Dermed kunne det blive muligt for en fjernangriber at forårsage et lammelsesangreb (denial of service) ved at hindre synkronisering mellem NTP-peers.
I den stabile distribution (wheezy), er disse problemer rettet i version 1.24-3.1+deb7u3.
I den ustabile distribution (sid), er disse problemer rettet i version 1.30-2.
Vi anbefaler at du opgraderer dine chrony-pakker.
- CVE-2015-1821