FreeBSD:ntp -- 多個弱點 (4033d826-87dd-11e4-9079-3c970e169bc2)
high Nessus Plugin ID 80149
語系:
概要
遠端 FreeBSD 主機缺少一個或多個安全性相關更新。說明
CERT 報告:網路時間通訊協定 (NTP) 提供的網路式系統具有同步多種服務和應用程式時間的方法。ntpd 4.2.7 版和之前版本允許攻擊者使數個緩衝區溢位,進而允許執行惡意程式碼。
ntp-keygen 4.2.7p230 版之前的版本在產生對稱金鑰時,也會使用非密碼編譯的亂數產生器。
ntpd 中的緩衝區溢位弱點可允許未經驗證的遠端攻擊者以 ntpd 處理程序的權限層級,執行任意的惡意程式碼。ntp-keygen 中的弱式預設金鑰和非密碼編譯的亂數產生器,可允許攻擊者取得有關完整性檢查及驗證加密配置的資訊。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 80149
檔案名稱: freebsd_pkg_4033d82687dd11e490793c970e169bc2.nasl
版本: 1.13
類型: local
已發布: 2014/12/22
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:ntp, p-cpe:/a:freebsd:freebsd:ntp-devel
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2014/12/20
弱點發布日期: 2014/12/19
參考資訊
CVE: CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296
CERT: 852879