L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de NTP.org : deux vulnérabilités

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de NTP.org.
Produits vulnérables : Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP Switch, AIX, Juniper J-Series, Junos OS, Junos Space, NSMXpress, Meinberg NTP Server, NetBSD, NTP.org, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité de cette faille : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date de création : 04/02/2015.
Références de ce bulletin : 2671, bulletinapr2015, CERTFR-2015-AVI-162, CERTFR-2015-AVI-169, CERTFR-2016-AVI-148, CVE-2014-9297-REJECT, CVE-2014-9298-REJECT, CVE-2014-9750, CVE-2014-9751, DSA-3154-1, DSA-3154-2, DSA-3388-1, FEDORA-2015-1736, FEDORA-2015-1759, FreeBSD-SA-15:07.ntp, HPESBHF03886, JSA10663, K16393, MBGSA-1501, MDVSA-2015:046, MDVSA-2015:140, NetBSD-SA2016-001, ntp4_advisory, RHSA-2015:1459-01, RHSA-2015:2231-04, SOL16392, SOL16393, SSA:2015-302-03, SUSE-SU-2014:1686-1, SUSE-SU-2014:1686-2, SUSE-SU-2014:1686-3, SUSE-SU-2014:1690-1, SUSE-SU-2015:0259-1, SUSE-SU-2015:0259-2, SUSE-SU-2015:0259-3, SUSE-SU-2015:0274-1, SUSE-SU-2015:0322-1, USN-2497-1, VIGILANCE-VUL-16110.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans NTP.org.

Un attaquant peut utiliser un champ "vallen" trop grand, pour lire un fragment de la mémoire dans ntp_crypto.c, afin d'obtenir des informations sensibles. [grav:1/4; 2671, CVE-2014-9297-REJECT, CVE-2014-9750]

Un attaquant peut contourner les ACL utilisant l'adresse IPv6 ::1. [grav:2/4; CVE-2014-9298-REJECT, CVE-2014-9751]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin cybersécurité concerne les logiciels ou systèmes comme Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP Switch, AIX, Juniper J-Series, Junos OS, Junos Space, NSMXpress, Meinberg NTP Server, NetBSD, NTP.org, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 2 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette menace informatique.

Solutions pour cette menace 

NTP.org : version 4.2.8p1.
La version 4.2.8p1 est corrigée :
  http://www.ntp.org/downloads.html

Meinberg NTP Server : version 4.2.8p1.
La version 4.2.8p1 est corrigée :
  https://www.meinbergglobal.com/english/products/ntp-time-server.htm

AIX : patch pour ntp4.
Un patch est disponible :
  https://aix.software.ibm.com/aix/efixes/security/ntp4_fix.tar

Debian 7 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Debian 7 : ntp 1:4.2.6.p5+dfsg-2+deb7u3

Debian : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Debian 7 : ntp 1:4.2.6.p5+dfsg-2+deb7u6
  Debian 8 : ntp 1:4.2.6.p5+dfsg-7+deb8u1

F5 BIG-IP : versions corrigées pour NTP.
Les versions corrigées sont indiquées dans les sources d'information.

Fedora : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Fedora 20 : ntp 4.2.6p5-20.fc20
  Fedora 21 : ntp 4.2.6p5-27.fc21

FreeBSD : patch pour NTP.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-15:07/ntp.patch

HPE Comware : solution pour NTP.
La solution est indiquée dans les sources d'information.

Junos, NSM : solution pour NTP.
Une solution est indiquée dans la source d'information.

Mandriva BS2 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Mandriva BS2 : ntp 4.2.6p5-16.1.mbs2

Mandriva : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : ntp 4.2.6p5-8.2.mbs1

NetBSD : patch pour ntp.
Un patch est indiqué dans les sources d'information.

RHEL 6 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  RHEL 6 : ntp 4.2.6p5-5.el6

RHEL 7 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  RHEL 7 : ntp 4.2.6p5-22.el7

Slackware : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : ntp 4.2.8p4-*-1_slack13.0
  Slackware 13.1 : ntp 4.2.8p4-*-1_slack13.1
  Slackware 13.37 : ntp 4.2.8p4-*-1_slack13.37
  Slackware 14.0 : ntp 4.2.8p4-*-1_slack14.0
  Slackware 14.1 : ntp 4.2.8p4-*-1_slack14.1

Solaris : patch pour Third Party (15/04/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SUSE LE 10 : nouveaux paquetages xntp.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : xntp 4.2.4p3-48.27.1

SUSE LE : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : ntp 4.2.4p8-1.28.1
  SUSE LE 12 : ntp 4.2.6p5-31.1

Ubuntu : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.10 : ntp 1:4.2.6.p5+dfsg-3ubuntu2.14.10.2
  Ubuntu 14.04 LTS : ntp 1:4.2.6.p5+dfsg-3ubuntu2.14.04.2
  Ubuntu 12.04 LTS : ntp 1:4.2.6.p3+dfsg-1ubuntu3.3
  Ubuntu 10.04 LTS : ntp 1:4.2.4p8+dfsg-1ubuntu2.3
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des avis de vulnérabilité de logiciel. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.