L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

alerte sécurité CVE-2014-9750 CVE-2014-9751

NTP.org : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de NTP.org.
Gravité de cette faille : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 04/02/2015.
Références de ce bulletin : 2671, bulletinapr2015, CERTFR-2015-AVI-162, CERTFR-2015-AVI-169, CERTFR-2016-AVI-148, CVE-2014-9297-REJECT, CVE-2014-9298-REJECT, CVE-2014-9750, CVE-2014-9751, DSA-3154-1, DSA-3154-2, DSA-3388-1, FEDORA-2015-1736, FEDORA-2015-1759, FreeBSD-SA-15:07.ntp, HPESBHF03886, JSA10663, K16393, MBGSA-1501, MDVSA-2015:046, MDVSA-2015:140, NetBSD-SA2016-001, ntp4_advisory, RHSA-2015:1459-01, RHSA-2015:2231-04, SOL16392, SOL16393, SSA:2015-302-03, SUSE-SU-2014:1686-1, SUSE-SU-2014:1686-2, SUSE-SU-2014:1686-3, SUSE-SU-2014:1690-1, SUSE-SU-2015:0259-1, SUSE-SU-2015:0259-2, SUSE-SU-2015:0259-3, SUSE-SU-2015:0274-1, SUSE-SU-2015:0322-1, USN-2497-1, VIGILANCE-VUL-16110.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans NTP.org.

Un attaquant peut utiliser un champ "vallen" trop grand, pour lire un fragment de la mémoire dans ntp_crypto.c, afin d'obtenir des informations sensibles. [grav:1/4; 2671, CVE-2014-9297-REJECT, CVE-2014-9750]

Un attaquant peut contourner les ACL utilisant l'adresse IPv6 ::1. [grav:2/4; CVE-2014-9298-REJECT, CVE-2014-9751]
Bulletin Vigil@nce complet... (Essai gratuit)

Ce bulletin cybersécurité concerne les logiciels ou systèmes comme Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP Switch, AIX, Juniper J-Series, Junos OS, Junos Space, NSMXpress, Meinberg NTP Server, NetBSD, NTP.org, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 2 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette menace informatique.

Solutions pour cette menace

NTP.org : version 4.2.8p1.
La version 4.2.8p1 est corrigée :
  http://www.ntp.org/downloads.html

Meinberg NTP Server : version 4.2.8p1.
La version 4.2.8p1 est corrigée :
  https://www.meinbergglobal.com/english/products/ntp-time-server.htm

AIX : patch pour ntp4.
Un patch est disponible :
  https://aix.software.ibm.com/aix/efixes/security/ntp4_fix.tar

Debian 7 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Debian 7 : ntp 1:4.2.6.p5+dfsg-2+deb7u3

Debian : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Debian 7 : ntp 1:4.2.6.p5+dfsg-2+deb7u6
  Debian 8 : ntp 1:4.2.6.p5+dfsg-7+deb8u1

F5 BIG-IP : versions corrigées pour NTP.
Les versions corrigées sont indiquées dans les sources d'information.

Fedora : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Fedora 20 : ntp 4.2.6p5-20.fc20
  Fedora 21 : ntp 4.2.6p5-27.fc21

FreeBSD : patch pour NTP.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-15:07/ntp.patch

HPE Comware : solution pour NTP.
La solution est indiquée dans les sources d'information.

Junos, NSM : solution pour NTP.
Une solution est indiquée dans la source d'information.

Mandriva BS2 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Mandriva BS2 : ntp 4.2.6p5-16.1.mbs2

Mandriva : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : ntp 4.2.6p5-8.2.mbs1

NetBSD : patch pour ntp.
Un patch est indiqué dans les sources d'information.

RHEL 6 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  RHEL 6 : ntp 4.2.6p5-5.el6

RHEL 7 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  RHEL 7 : ntp 4.2.6p5-22.el7

Slackware : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : ntp 4.2.8p4-*-1_slack13.0
  Slackware 13.1 : ntp 4.2.8p4-*-1_slack13.1
  Slackware 13.37 : ntp 4.2.8p4-*-1_slack13.37
  Slackware 14.0 : ntp 4.2.8p4-*-1_slack14.0
  Slackware 14.1 : ntp 4.2.8p4-*-1_slack14.1

Solaris : patch pour Third Party (15/04/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SUSE LE 10 : nouveaux paquetages xntp.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 : xntp 4.2.4p3-48.27.1

SUSE LE : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : ntp 4.2.4p8-1.28.1
  SUSE LE 12 : ntp 4.2.6p5-31.1

Ubuntu : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.10 : ntp 1:4.2.6.p5+dfsg-3ubuntu2.14.10.2
  Ubuntu 14.04 LTS : ntp 1:4.2.6.p5+dfsg-3ubuntu2.14.04.2
  Ubuntu 12.04 LTS : ntp 1:4.2.6.p3+dfsg-1ubuntu3.3
  Ubuntu 10.04 LTS : ntp 1:4.2.4p8+dfsg-1ubuntu2.3
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des avis de vulnérabilité de logiciel. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.