—–BEGIN PGP SIGNED MESSAGE—–
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-0021 – Fehlerhafte Pruefung des Rueckgabewerts von OpenSSL in
NTP
NTP beinhaltet eine Schwachstelle bei der Pruefung von Zertifikaten
durch die Bibliothek OpenSSL. Grund hierfuer sind Fehler bei der
Auswertung des Rueckgabewertes der Funktion ‘EVP_VerifyFinal()’. Von
der Schwachstelle sind Signaturen basierend auf den Verfahren DSA
(Digital Signature Algorithm) und ECDSA (Elliptic Curve DSA). Ein
entfernter Angreifer kann dadurch eventuell dem betroffenen System
gefaelschte Zeitinformationen unterschieben.
Die Cryptografische Authentifizierung des Time Servers ist haeufig
ausgeschaltet. Es sind nur Authentifikationsverfahren betroffen, die
sich auf die angefuehrten Algorithmen abstuetzen. Diese Schwachstelle
ist aehnlich zu CVE-2008-5077.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket ntp
Fedora 9
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-January/msg00865.html
https://www.redhat.com/archives/fedora-package-announce/2009-January/msg00880.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Torsten Voss
– —
Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
16. DFN-Workshop Sicherheit in vernetzten Systemen
https://www.dfn-cert.de/ws2009/
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-0544
2009-01-14 23:38:30
– ——————————————————————————–
Name : ntp
Product : Fedora 10
Version : 4.2.4p6
Release : 1.fc10
URL : http://www.ntp.org
Summary : The NTP daemon and utilities
Description :
The Network Time Protocol (NTP) is used to synchronize a computer’s
time with another reference time source. This package includes ntpd
(a daemon which continuously adjusts system time) and utilities used
to query and configure the ntpd daemon.
Perl scripts ntp-wait and ntptrace are in the ntp-perl package and
the ntpdate program is in the ntpdate package.
– ——————————————————————————–
Update Information:
This update fixes CVE-2009-0021: NTP 4.2.4 before 4.2.4p5 and 4.2.5 before
4.2.5p150 does not properly check the return value from the OpenSSL
EVP_VerifyFinal function, which allows remote attackers to bypass validation of
the certificate chain via a malformed SSL/TLS signature for DSA and ECDSA keys,
a similar vulnerability to CVE-2008-5077.
– ——————————————————————————–
ChangeLog:
* Mon Jan 12 2009 Miroslav Lichvar
– – update to 4.2.4p6 (CVE-2009-0021)
– ——————————————————————————–
References:
[ 1 ] Bug #476807 – CVE-2009-0021 ntp incorrectly checks for malformed signatures
https://bugzilla.redhat.com/show_bug.cgi?id=476807
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update ntp’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBSX2/ukhXCWfrVVdXAQEERAf9EfNGRho2XakSYh0zjzDYVTfwWE2KrbTX
vOVzsz4Fn3Hbt4T/SdOFEWqO2bbj0/egNOkjlL5vL39x85KJiFwy4RtN6ES1wUQu
Fa7VGP4/6xQFl3bB/P9jPXygiZGgtxFVunehnc8Kxw0repD3KOI1RrHdIheQ5jBS
MHvN8XCxQMKRa2utUM+drH8h5XePQ2VmwEyeeVNyEOMKGges61J+s5i5qmKS0ni0
7NpmzGC0XE3of8iMSbkyR3Jl84ZZs/U5TkKFdzCkm5YqB3esedtxcQVAh+pXWDwK
pUwIeP3ZiDIrsZ7ZeIV1LjB5vR8Gq5fFmV+nVxT/2vVeMrf16aaeJQ==
=0JBZ
—–END PGP SIGNATURE—–
