UPDATE: DFN-CERT-2015-0493 Chrony: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und Denial-of-Service-Angriffe [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2015-0493 Chrony: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und Denial-of-Service-Angriffe [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (14.04.2015):
Debian stellt für die stabile Distribution Wheezy (7.8) ein
Backport-Sicherheitsupdate in Form des Paketes 1.24-3.1+deb7u3 zur
Verfügung.
Version 2 (10.04.2015):
Für Fedora 22 steht ein Sicherheitsupdate in Form des Paketes
chrony-2.0-0.3.pre2.fc22 im Status ‘testing’ zur Verfügung.
Version 1 (09.04.2015):
Neues Advisory

Betroffene Software:

Chrony <= 1.31 Betroffene Plattformen: Debian Linux 7.8 Wheezy Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen in Chrony ermöglichen einem entfernten, einfach authentisierten Angreifer die Ausführung von beliebigem Programmcode. Eine Schwachstelle kann durch einen entfernten, nicht authentisierten Angreifer für einen Denial-of-Service-Angriff ausgenutzt werden. Für die Distributionen Fedora 20 und Fedora 21 sowie für Fedora EPEL 5 und EPEL 6 stehen Sicherheitsupdates im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2015-5748 https://admin.fedoraproject.org/updates/FEDORA-2015-5748/chrony-2.0-0.3.pre2.fc22

Patch:

Fedora Security Update FEDORA-2015-5809

https://admin.fedoraproject.org/updates/FEDORA-2015-5809/chrony-1.31.1-1.fc20

Patch:

Fedora Security Update FEDORA-2015-5816

https://admin.fedoraproject.org/updates/FEDORA-2015-5816/chrony-1.31.1-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2015-5677

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5677/chrony-1.31.1-1.el5

Patch:

Fedora Security Update FEDORA-EPEL-2015-5707

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5707/chrony-1.31.1-1.el6

Patch:

Debian Security Advisory DSA-3222-1

https://www.debian.org/security/2015/dsa-3222

CVE-2015-1853: Schwachstelle in Chrony ermöglicht Denial-of-Service-Angriffe

Es besteht eine Schwachstelle in Chrony, die auftritt , wenn zwei
NTP-Clients symmetrisch miteinander verknüpft sind. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle dazu ausnutzen, um mit
Hilfe von veränderten Paketen die Synchronisation zwischen den beiden
Clients zu unterbinden und so einen Denial-of-Service-Angriff durchführen.

CVE-2015-1822: Schwachstelle in Chrony ermöglicht die Ausführung beliebigen
Programmcodes

Es besteht eine Schwachstelle in Chrony, aufgrund welcher der letzte Zeiger
einer Liste von Rückgabe-Slots nicht initialisiert wird. Ein entfernter,
einfach authentisierter Angreifer kann die Schwachstelle dazu ausnutzen um
beliebigen Programmcode zur Ausführung zu bringen.

CVE-2015-1821: Schwachstelle in Chrony ermöglicht die Ausführung beliebigen
Programmcodes

Es besteht eine Schwachstelle in Chrony, die unter der Voraussetzung, dass
bei Abfragen an NTP eine spezielle Subnetzmaske verwendet wird, einen
Array-Index fehlerhaft berechnet und in der Folge außerhalb des
Speicherbereichs schreibt. Ein entfernter, einfach authentisierter Angreifer
kann die Schwachstelle dazu ausnutzen, um beliebigen Programmcode zur
Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0493/

Fedora Security Update FEDORA-2015-5748:
https://admin.fedoraproject.org/updates/FEDORA-2015-5748/chrony-2.0-0.3.pre2.fc22

Fedora Security Update FEDORA-2015-5809:
https://admin.fedoraproject.org/updates/FEDORA-2015-5809/chrony-1.31.1-1.fc20

Fedora Security Update FEDORA-2015-5816:
https://admin.fedoraproject.org/updates/FEDORA-2015-5816/chrony-1.31.1-1.fc21

Fedora Security Update FEDORA-EPEL-2015-5677:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5677/chrony-1.31.1-1.el5

Fedora Security Update FEDORA-EPEL-2015-5707:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-5707/chrony-1.31.1-1.el6

Schwachstelle CVE-2015-1821 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1821

Schwachstelle CVE-2015-1822 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1822

Schwachstelle CVE-2015-1853 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1853

Debian Security Advisory DSA-3222-1:
https://www.debian.org/security/2015/dsa-3222

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben