openSUSE 安全性更新:ntp (openSUSE-2015-767)
critical Nessus Plugin ID 86964
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
此 ntp 更新可修正下列安全性和非安全性問題:- 4.2.8p4 的更新,可修正數個安全性問題 (bsc#951608):
- CVE-2015-7871:NAK to the Future:透過 crypto-NAK 執行的對稱式關聯性驗證繞過
- CVE-2015-7855:decodenetnum() 會「宣告」botch,而非對某些假的值傳回「失敗」
- CVE-2015-7854:密碼長度記憶體損毀弱點
- CVE-2015-7853:自訂 refclock 驅動程式提供的無效長度資料可造成緩衝區溢位
- CVE-2015-7852 ntpq atoascii() 記憶體損毀弱點
- CVE-2015-7851 saveconfig 目錄遊走弱點
- CVE-2015-7850 遠端設定 logfile-keyfile
- CVE-2015-7849 受信任金鑰釋放後使用問題
- CVE-2015-7848 模式 7 迴圈計數器不足
- CVE-2015-7701 CRYPTO_ASSOC 中緩慢記憶體洩漏問題
- CVE-2015-7703 組態指示詞「pidfile」和「driftfile」只應允許在本機使用
- CVE-2015-7704、CVE-2015-7705 收到 KoD 的用戶端應驗證來源時間戳記欄位
- CVE-2015-7691、CVE-2015-7692、CVE-2015-7702 autokey 資料封包長度檢查不完整
- 淘汰 ntp-memlock.patch。
- 若 /etc/ntp.conf 沒有 controlkey 行,則新增一個,以允許透過 ntpq 進行運行時間組態。
解決方案
更新受影響的 ntp 套件。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 86964
檔案名稱: openSUSE-2015-767.nasl
版本: 2.13
類型: local
代理程式: unix
已發布: 2015/11/20
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS v3
風險因素: Critical
基本分數: 9.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
弱點資訊
CPE: p-cpe:/a:novell:opensuse:ntp, p-cpe:/a:novell:opensuse:ntp-debuginfo, p-cpe:/a:novell:opensuse:ntp-debugsource, cpe:/o:novell:opensuse:42.1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
修補程式發佈日期: 2015/11/10
參考資訊
CVE: CVE-2015-7691, CVE-2015-7692, CVE-2015-7701, CVE-2015-7702, CVE-2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7848, CVE-2015-7849, CVE-2015-7850, CVE-2015-7851, CVE-2015-7852, CVE-2015-7853, CVE-2015-7854, CVE-2015-7855, CVE-2015-7871
TRA: TRA-2015-04