Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
chrony
(any)
Описание
Мирослав Лихвар из Red Hat обнаружил многочисленные уязвимости в chrony,
альтернативном клиенте и сервере NTP:
CVE-2015-1821
Использование определённых пар адрес/подсеть при настройке управления доступом
может вызвать некорректную запись в память. Это может позволить злоумышленникам
вызвать отказ в обслуживании (аварийное завершение работы) или выполнить произвольный код.
CVE-2015-1822
При выделении памяти для сохранения неподтверждённых ответов на аутентифицированные
командные запросы указатель остаётся неинициализированным, что может
приводить к некорректной записи в память. Это может позволить злоумышленникам вызвать
отказ в обслуживании (аварийное завершение работы) или выполнить произвольный код.
CVE-2015-1853
При взаимодействии с другими узлами NTP с использованием симметричной
ассоциации переменные внутреннего состояния обновляются до
проверки MAC сообщений NTP. Это может позволить удалённым
злоумышленникам вызвать отказ в обслуживании путём блокировки синхронизации
между узлами NTP.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.24-3.1+deb7u3.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.30-2.
Рекомендуется обновить пакеты chrony.
альтернативном клиенте и сервере NTP:
CVE-2015-1821
Использование определённых пар адрес/подсеть при настройке управления доступом
может вызвать некорректную запись в память. Это может позволить злоумышленникам
вызвать отказ в обслуживании (аварийное завершение работы) или выполнить произвольный код.
CVE-2015-1822
При выделении памяти для сохранения неподтверждённых ответов на аутентифицированные
командные запросы указатель остаётся неинициализированным, что может
приводить к некорректной записи в память. Это может позволить злоумышленникам вызвать
отказ в обслуживании (аварийное завершение работы) или выполнить произвольный код.
CVE-2015-1853
При взаимодействии с другими узлами NTP с использованием симметричной
ассоциации переменные внутреннего состояния обновляются до
проверки MAC сообщений NTP. Это может позволить удалённым
злоумышленникам вызвать отказ в обслуживании путём блокировки синхронизации
между узлами NTP.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.24-3.1+deb7u3.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.30-2.
Рекомендуется обновить пакеты chrony.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
chrony - 1.24-3.1+deb7u3
Debian GNU/Linux 7:
noarch:
chrony - 1.24-3.1+deb7u3
Ссылки
http://www.debian.org/security/dsa-3222/
Источник: CVE
Наименование: CVE-2015-1822
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1822
Источник: CVE
Наименование: CVE-2015-1853
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1853
Источник: CVE
Наименование: CVE-2015-1821
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1821
Источник: CVE
Наименование: CVE-2015-1822
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1822
Источник: CVE
Наименование: CVE-2015-1853
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1853
Источник: CVE
Наименование: CVE-2015-1821
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1821