SUSE SLED11 / SLES11 安全性更新：ntp (SUSE-SU-2015:2058-1)

critical Nessus Plugin ID 87010

語系：

概要

遠端 SUSE 主機缺少一個或多個安全性更新。

說明

此 ntp 更新可修正下列安全性和非安全性問題：

- 4.2.8p4 的更新，可修正數個安全性問題 (bsc#951608)：

- CVE-2015-7871：NAK to the Future：透過 crypto-NAK 執行的對稱式關聯性驗證繞過

- CVE-2015-7855：decodenetnum() 會「宣告」botch，而非對某些假的值傳回「失敗」

- CVE-2015-7854：密碼長度記憶體損毀弱點

- CVE-2015-7853：自訂 refclock 驅動程式提供的無效長度資料可造成緩衝區溢位

- CVE-2015-7852 ntpq atoascii() 記憶體損毀弱點

- CVE-2015-7851 saveconfig 目錄遊走弱點

- CVE-2015-7850 遠端設定 logfile-keyfile

- CVE-2015-7849 受信任金鑰釋放後使用問題

- CVE-2015-7848 模式 7 迴圈計數器不足

- CVE-2015-7701 CRYPTO_ASSOC 中緩慢記憶體洩漏問題

- CVE-2015-7703 組態指示詞「pidfile」和「driftfile」只應允許在本機使用

- CVE-2015-7704、CVE-2015-7705 收到 KoD 的用戶端應驗證來源時間戳記欄位

- CVE-2015-7691、CVE-2015-7692、CVE-2015-7702 autokey 資料封包長度檢查不完整

- 使用 ntpq 而非 start-ntpd 中已過時的 ntpdc (bnc#936327)。

- 將 controlkey 新增至 ntp.conf，讓上述工作得以運作。

- 改善運行時間組態：

- 從 ntp.conf 讀取 keytype

- 未將 ntp 金鑰寫入至 syslog。

- 未讓 ntp.conf 中的「keysdir」行觸發「keys」剖析器。

- 修正 ntp.conf 中關於 addserver 的註解 (bnc#910063)。

- 移除 ntp.1.gz，不再安裝。

- 移除 ntp-4.2.7-rh-manpages.tar.gz，僅保留 ntptime.8.gz。其餘內容部分不相關、部分多餘，而且可能過期 (bsc#942587)。

- 從 ntp.conf 中的 restrict 行移除「kod」(bsc#944300)。

- 將 SHA1 而非 MD5 用於對稱金鑰 (bsc#905885)。

- 需要有 perl-Socket6 (bsc#942441)。

- 修正「rcntp ntptimemset」不完整的反向移植。

請注意，Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

若要安裝此 SUSE 安全性更新，請使用 YaST online_update。
或者，也可以執行針對您的產品所列的命令：

SUSE Linux Enterprise Server 11-SP4：

zypper in -t patch slessp4-ntp-12218=1

SUSE Linux Enterprise Desktop 11-SP4：

zypper in -t patch sledsp4-ntp-12218=1

SUSE Linux Enterprise Debuginfo 11-SP4：

zypper in -t patch dbgsp4-ntp-12218=1

若要使您的系統保持在最新狀態，請使用「zypper 修補程式」。