Säkerhetsbulletin från Debian
DSA-3222-1 chrony -- säkerhetsuppdatering
- Rapporterat den:
- 2015-04-12
- Berörda paket:
- chrony
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 782160.
I Mitres CVE-förteckning: CVE-2015-1821, CVE-2015-1822, CVE-2015-1853. - Ytterligare information:
-
Miroslav Lichvar från Red Hat upptäckte flera sårbarheter i chrony, en alternativ NTP-klient och server:
- CVE-2015-1821
Användning av speciella adress/subnet-par vid konfigurering av åtkomstkontroll kunde orsaka en ogiltig minnesskrivning. Detta kunde tillåta angripare att orsaka en överbelastning (krasch) eller körning av godtycklig kod.
- CVE-2015-1822
Vid allokering av minne för att spara icke godkända svar på autentiserade kommandoförfrågningar kunde en pekare lämnas oinitierad, vilket kunde trigga en skivning av ogiltigt minne. Detta kunde tillåta angripare att orsaka en överbelastning (krasch) eller körning av godtycklig kod.
- CVE-2015-1853
Vid synkronisering (peering) med andra NTP-värdar med hjälp av autentiserad symmetrisk association, kom de interna statusvariabler att uppdateras före MAC-adresserna i NTP-meddelandena validerades. Detta kunde tillåta en fjärrangripare att orsaka en överbelastning genom hämmande synkronisering mellan NTP-jämlikar.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.24-3.1+deb7u3.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.30-2.
Vi rekommenderar att ni uppgraderar era chrony-paket.
- CVE-2015-1821