Множественные уязвимости в ntp

Дата публикации:
23.10.2015
Дата изменения:
26.10.2015
Всего просмотров:
2818
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
16
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
CVE ID:
CVE-2015-7691
CVE-2015-7692
CVE-2015-7701
CVE-2015-7702
CVE-2015-7703
CVE-2015-7704
CVE-2015-7705
CVE-2015-7848
CVE-2015-7849
CVE-2015-7850
CVE-2015-7851
CVE-2015-7852
CVE-2015-7853
CVE-2015-7854
CVE-2015-7855
CVE-2015-7871
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
NTP 4.x
Уязвимые версии:
NTP до 4.2.8p4

Описание:

Уязвимости позволяют удаленному пользователю обойти ограничения безопасности, раскрыть важные данные, неавторизованно изменить данные и вызвать отказ в обслуживании.

1, 2, 4) Уязвимость существует из-за ошибки в компоненте AutoKey. Удаленный пользователь может с помощью специально сформированного пакета данных AutoKey с определенной длиной вызвать отказ в обслуживании.

3) Уязвимость существует из-за ошибки утечки памяти CryptoAssoc. Удаленный пользователь может вызвать отказ в обслуживании.

5) Уязвимость существует из-за ошибки контроля доступа. Удаленный пользователь может неавторизованно изменить данные.

6, 7) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может с помощью специально сформированных данных вызвать отказ в обслуживании.

8) Уязвимость существует из-за ошибки целочисленного переполнения буфера. Удаленный пользователь может вызвать отказ в обслуживании.

9) Уязвимость существует из-за ошибки использования после высвобождения при обработке доверенных ключей. Удаленный пользователь может обойти ограничения безопасности.

10) Уязвимость существует из-за ошибки в компоненте в конфигурации logfile-keyfile. Удаленный пользователь может вызвать отказ в обслуживании.

11) Уязвимость существует из-за ошибки обхода директории. Удаленный пользователь может обойти ограничения безопасности.

12) Уязвимость существует из-за ошибки повреждения памяти в функции ntpq atoascii(). Удаленный пользователь может вызвать отказ в обслуживании.

13) Уязвимость существует из-за ошибки переполнения буфера. Удаленный пользователь может с помощью специально сформированных данных референсных часов вызвать отказ в обслуживании.

14) Уязвимость существует из-за ошибки повреждения памяти. Удаленный пользователь может с помощью специально сформированного значение пароля вызвать отказ в обслуживании.

15) Уязвимость существует из-за ошибки в компоненте в функции decodenetnum(). Удаленный пользователь может вызвать отказ в обслуживании.

16) Уязвимость существует из-за ошибки в компоненте в функции crypto-NAK(). Удаленный пользователь может обойти ограничения безопасности.


URL производителя: http://ntp.org

Решение: Установите исправление с сайта производителя.

Ссылки: http://support.ntp.org/bin/view/Main/SecurityNotice#October_2015_NTP_Security_Vulner
Журнал изменений: 26.10.15: Изменен раздел "Подробное описание"