L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilité de NTP.org : deux vulnérabilités de Crypto

Synthèse de la vulnérabilité

Un attaquant peut employer deux vulnérabilités relatives aux fonctionnalités cryptographiques de NTP.org.
Gravité de cette faille : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 07/04/2015.
Références de ce bulletin : 2779, 2781, bulletinapr2015, c04679309, c05033748, cisco-sa-20150408-ntpd, CVE-2015-1798, CVE-2015-1799, DSA-3223-1, FEDORA-2015-5830, FEDORA-2015-5874, FreeBSD-SA-15:07.ntp, HPSBHF03557, HPSBUX03333, MDVSA-2015:202, ntp4_advisory, ntp_advisory3, openSUSE-SU-2015:0775-1, RHSA-2015:1459-01, RHSA-2015:2231-04, SOL16505, SOL16506, SSA:2015-111-08, SSRT102029, SUSE-SU-2015:1173-1, SUSE-SU-2016:1912-1, SUSE-SU-2016:2094-1, USN-2567-1, VIGILANCE-VUL-16548, VN-2015-006-NTP, VU#374268.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans NTP.org.

Un attaquant peut utiliser un message sans MAC (Message Authentication Code), afin de contourner l'authentification utilisant une clé symétrique. [grav:2/4; 2779, CVE-2015-1798]

Un attaquant peut usurper un paquet entre deux serveurs appairés avec une association symétrique, afin de mener un déni de service. [grav:2/4; 2781, CVE-2015-1799]
Bulletin Vigil@nce complet... (Essai gratuit)

Cette alerte sécurité concerne les logiciels ou systèmes comme Cisco ASR, Cisco ACE, ASA, Cisco Catalyst, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Cisco IPS, Nexus par Cisco, NX-OS, Prime Infrastructure, Cisco PRSM, Cisco Router, Secure ACS, Debian, Black Diamond, ExtremeXOS, Summit, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP Switch, HP-UX, AIX, Meinberg NTP Server, NTP.org, openSUSE, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin cybersécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 2 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis de vulnérabilité informatique.

Solutions pour cette menace

NTP.org : version ntp-4.2.8p2.
La version ntp-4.2.8p2 est corrigée :
  http://support.ntp.org/download
  https://www.meinbergglobal.com/english/sw/ntp.htm

AIX : patch pour ntp3.
Un patch est disponible :
  ftp://aix.software.ibm.com/aix/efixes/security/ntp_fix3.tar

AIX : patch pour ntp4.
Un patch est disponible :
  https://aix.software.ibm.com/aix/efixes/security/ntp4_fix.tar

Cisco : solution pour NTP.org.
La solution est indiquée dans les sources d'information.

Debian : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Debian 7 : ntp 1:4.2.6.p5+dfsg-2+deb7u4

Extreme Networks : solution pour NTP.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : solution pour NTP.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Fedora 20 : ntp 4.2.6p5-22.fc20
  Fedora 21 : ntp 4.2.6p5-30.fc21

FreeBSD : patch pour NTP.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-15:07/ntp.patch

HP Switch : versions corrigées pour NTP.
Les versions corrigées sont indiquées dans les sources d'information.

HP-UX : NTP version C.4.2.6.6.0.
La version HP-UX-NTP_C.4.2.6.6.0 est corrigée :
  https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=HPUX-NTP

Mandriva : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : ntp 4.2.6p5-8.4.mbs1
  Mandriva BS2 : ntp 4.2.6p5-16.3.mbs2

openSUSE : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : ntp 4.2.6p5-15.16.1
  openSUSE 13.2 : ntp 4.2.6p5-25.12.1

RHEL 6 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  RHEL 6 : ntp 4.2.6p5-5.el6

RHEL 7 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  RHEL 7 : ntp 4.2.6p5-22.el7

Slackware : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : ntp 4.2.8p2-*-1_slack13.0
  Slackware 13.1 : ntp 4.2.8p2-*-1_slack13.1
  Slackware 13.37 : ntp 4.2.8p2-*-1_slack13.37
  Slackware 14.0 : ntp 4.2.8p2-*-1_slack14.0
  Slackware 14.1 : ntp 4.2.8p2-*-1_slack14.1

Solaris : patch pour Third Party (19/05/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SUSE LE 10 SP4 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 SP4 : ntp 4.2.8p8-0.7.1

SUSE LE 10 SP4 : nouveaux paquetages yast2-ntp-client.
De nouveaux paquetages sont disponibles :
  SUSE LE 10 SP4 : yast2-ntp-client 2.13.18-0.20.1

SUSE LE 11 : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : ntp 4.2.4p8-1.29.36.1

Ubuntu : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.10 : ntp 1:4.2.6.p5+dfsg-3ubuntu2.14.10.3
  Ubuntu 14.04 LTS : ntp 1:4.2.6.p5+dfsg-3ubuntu2.14.04.3
  Ubuntu 12.04 LTS : ntp 1:4.2.6.p3+dfsg-1ubuntu3.4
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit un patch de vulnérabilité de système. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.