Bulletin d'alerte Debian

DSA-3222-1 chrony -- Mise à jour de sécurité

Date du rapport :
12 avril 2015
Paquets concernés :
chrony
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 782160.
Dans le dictionnaire CVE du Mitre : CVE-2015-1821, CVE-2015-1822, CVE-2015-1853.
Plus de précisions :

Miroslav Lichvar de Red Hat a découvert plusieurs vulnérabilités dans chrony, un client et un serveur NTP alternatif :

  • CVE-2015-1821

    L'utilisation de paires particulières d'adresses et de sous-réseaux lors de la configuration du contrôle d'accès pourrait provoquer une écriture de mémoire incorrecte. Cela pourrait permettre à des attaquants de provoquer un déni de service (plantage) ou d'exécuter du code arbitraire.

  • CVE-2015-1822

    Lors de l'allocation de mémoire pour sauvegarder les réponses de non-réception à des requêtes de commande authentifiées, un pointeur pourrait rester non initialisé ce qui pourrait déclencher une écriture de mémoire incorrecte. Cela pourrait permettre à des attaquants de provoquer un déni de service (plantage) ou d'exécuter du code arbitraire.

  • CVE-2015-1853

    Lorsqu'il s'apparie avec d'autres hôtes NTP en utilisant une association symétrique authentifiée, ntpd actualiserait ses variables d'état internes avant que le code d'identification de message (MAC) des messages NTP soit validé. Cela pourrait permettre à un attaquant distant de provoquer un déni de service en empêchant la synchronisation entre les pairs NTP.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.24-3.1+deb7u3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.30-2.

Nous vous recommandons de mettre à jour vos paquets chrony.