DFN-CERT-2015-0155 NTP: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und Denial-of-Service-Angriffe [Linux][Debian][Fedora]

DFN-CERT-2015-0155 NTP: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und Denial-of-Service-Angriffe [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

NTP <= 4.2.6 Betroffene Plattformen: Debian Linux 7.7 Wheezy Red Hat Fedora 20 Red Hat Fedora 21 Zwei Schwachstellen in NTP ermöglichen einem entfernten, nicht authentifizierten Angreifer Sicherheitsmaßnahmen zu umgehen, Informationen auszuspähen oder Denial-of-Service-Angriffe durchzuführen. Für die stabile Distribution Debian Wheezy (7.7) sowie Fedora 20 und 21 werden Sicherheitsupdates jeweils basierend auf gepatchten NTP 4.2.6-Paketen zur Verfügung gestellt. Patch: Debian Security Advisory DSA-3154-1 https://www.debian.org/security/2015/dsa-3154

Patch:

Fedora Security Update FEDORA-2015-1736

https://admin.fedoraproject.org/updates/FEDORA-2015-1736/ntp-4.2.6p5-27.fc21

Patch:

Fedora Security Update FEDORA-2015-1759

https://admin.fedoraproject.org/updates/FEDORA-2015-1759/ntp-4.2.6p5-20.fc20

CVE-2014-9298: Schwachstelle in NTP ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in der Verarbeitung von IPv6-Adressen führt dazu, dass
Quellen-IP-Zugriffssteuerungslisten (ACLs) die auf IPv6 ::1 basieren,
umgangen werden können, wenn die IP-Pakete gefälscht werden. Ein entfernter,
nicht authentifizierter Angreifer kann Sicherungsmaßnahmen umgehen.

CVE-2014-9297: Schwachstelle in ntp_crypto ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in der Datei ntp_crypto.c führt dazu, dass die
Längenangaben in Erweiterungsfeldern nicht korrekt überprüft werden. Ein
entfernter, nicht authentifizierter Angreifer kann Informationen ausspähen
oder einen Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0155/

Debian Security Advisory DSA-3154-1:
https://www.debian.org/security/2015/dsa-3154

Fedora Security Update FEDORA-2015-1736:
https://admin.fedoraproject.org/updates/FEDORA-2015-1736/ntp-4.2.6p5-27.fc21

Fedora Security Update FEDORA-2015-1759:
https://admin.fedoraproject.org/updates/FEDORA-2015-1759/ntp-4.2.6p5-20.fc20

Schwachstelle CVE-2014-9297 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9297

Schwachstelle CVE-2014-9298 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9298

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben