1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
|
#use wml::debian::translation-check translation="b34685cf85074cebb072c828dadcfc9b147e052b" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В службе и утилитах NTP было обнаружено несколько
уязвимостей:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7974">CVE-2015-7974</a>
<p>Мэтт Стрит обнаружил, что недостаточная проверка ключей позволяет
выдавать себя за другого пользователя для аутентифицированных одноранговых узлов.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7977">CVE-2015-7977</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7978">CVE-2015-7978</a>
<p>Стивен Грэй обнаружил, что разыменование NULL-указателя и
переполнение буфера в коде обработки команд <q>ntpdc reslist</q> может
приводить к отказу в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7979">CVE-2015-7979</a>
<p>Аанчал Малхотра обнаружил, что если NTP настроен на использование режима
широкого вещания, то злоумышленник может отправить специально сформированные пакеты аутентификации,
которые приведут к поломке ассоциаций с сервером для других широковещательных клиентов.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8138">CVE-2015-8138</a>
<p>Мэтью ван Ганди и Джонатан Гарднер обнаружили, что отсутствие
проверки временных меток источника в клиентах ntpd может приводить к отказу
в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8158">CVE-2015-8158</a>
<p>Джонатан Гарднер обнаружил, что отсутствие очистки входных данных в ntpq
может приводить к отказу в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1547">CVE-2016-1547</a>
<p>Стивен Грэй и Мэтью ван Ганди обнаружили, что некорректная обработка
пакета Crypto-NAK может приводить к отказу в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1548">CVE-2016-1548</a>
<p>Джонатан Гарднер и Мирослав Личвар обнаружили, что клиентов ntpd
можно заставить перейти из базового режима клиент/сервер в чередующийся
симметричный режим, что не позволяет выполнить синхронизацию времени.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1550">CVE-2016-1550</a>
<p>Мэтью ван Ганди, Стивен Грэй и Логанаден Велвиндрон обнаружили,
что утечки таймингов в коде аутентификации пакетов могут приводить
к восстановлению дайджеста сообщения.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2516">CVE-2016-2516</a>
<p>Ихань Лянь обнаружил, что дублирующие IP в директивах <q>unconfig</q> приводят
к выполнению утверждения.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2518">CVE-2016-2518</a>
<p>Ихань Лянь обнаружил, что доступ к памяти OOB потенциально может
приводить к аварийному завершению ntpd.</p></li>
</ul>
<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1:4.2.6.p5+dfsg-7+deb8u2.</p>
<p>В тестируемом выпуске (stretch) эти проблемы были исправлены
в версии 1:4.2.8p7+dfsg-1.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1:4.2.8p7+dfsg-1.</p>
<p>Рекомендуется обновить пакеты ntp.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3629.data"
# $Id$
|