Security Lab

Множественные уязвимости в ntp

Дата публикации:23.10.2015
Дата изменения:26.10.2015
Всего просмотров:3281
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:16
CVSSv2 рейтинг: 5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
CVE ID: CVE-2015-7691
CVE-2015-7692
CVE-2015-7701
CVE-2015-7702
CVE-2015-7703
CVE-2015-7704
CVE-2015-7705
CVE-2015-7848
CVE-2015-7849
CVE-2015-7850
CVE-2015-7851
CVE-2015-7852
CVE-2015-7853
CVE-2015-7854
CVE-2015-7855
CVE-2015-7871
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: NTP 4.x
Уязвимые версии: NTP до 4.2.8p4
Описание:

Уязвимости позволяют удаленному пользователю обойти ограничения безопасности, раскрыть важные данные, неавторизованно изменить данные и вызвать отказ в обслуживании.

1, 2, 4) Уязвимость существует из-за ошибки в компоненте AutoKey. Удаленный пользователь может с помощью специально сформированного пакета данных AutoKey с определенной длиной вызвать отказ в обслуживании.

3) Уязвимость существует из-за ошибки утечки памяти CryptoAssoc. Удаленный пользователь может вызвать отказ в обслуживании.

5) Уязвимость существует из-за ошибки контроля доступа. Удаленный пользователь может неавторизованно изменить данные.

6, 7) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может с помощью специально сформированных данных вызвать отказ в обслуживании.

8) Уязвимость существует из-за ошибки целочисленного переполнения буфера. Удаленный пользователь может вызвать отказ в обслуживании.

9) Уязвимость существует из-за ошибки использования после высвобождения при обработке доверенных ключей. Удаленный пользователь может обойти ограничения безопасности.

10) Уязвимость существует из-за ошибки в компоненте в конфигурации logfile-keyfile. Удаленный пользователь может вызвать отказ в обслуживании.

11) Уязвимость существует из-за ошибки обхода директории. Удаленный пользователь может обойти ограничения безопасности.

12) Уязвимость существует из-за ошибки повреждения памяти в функции ntpq atoascii(). Удаленный пользователь может вызвать отказ в обслуживании.

13) Уязвимость существует из-за ошибки переполнения буфера. Удаленный пользователь может с помощью специально сформированных данных референсных часов вызвать отказ в обслуживании.

14) Уязвимость существует из-за ошибки повреждения памяти. Удаленный пользователь может с помощью специально сформированного значение пароля вызвать отказ в обслуживании.

15) Уязвимость существует из-за ошибки в компоненте в функции decodenetnum(). Удаленный пользователь может вызвать отказ в обслуживании.

16) Уязвимость существует из-за ошибки в компоненте в функции crypto-NAK(). Удаленный пользователь может обойти ограничения безопасности.

URL производителя: http://ntp.org
Решение: Установите исправление с сайта производителя.
Ссылки: http://support.ntp.org/bin/view/Main/SecurityNotice#October_2015_NTP_Security_Vulner
Журнал изменений: a:2:{s:4:"TEXT";s:45:"26.10.15: Изменен раздел "Подробное описание"";s:4:"TYPE";s:4:"html";}