MiracleLinux 7chrony-2.1.1-1.0.1.el7.AXS7AXSA:2015-927:01
medium Nessus プラグイン ID 289344
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートのMiracleLinux 7ホストには、AXSA:2015-927:01アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。Network Time Protocol のクライアント/サーバーであるこのプログラムは、コンピューターのクロックを正確に保ちます。断続的にインターネット接続があるシステムをサポートするように特別に設計されていますが、恒久的に接続された環境でも正常に動作します。ハードウェア参照クロック、システムリアルタイムクロック、またはマニュアル入力を時間参照として使用することもできます。
このリリースで修正されたセキュリティ問題
CVE-2015-18211.31.1 より前の chrony のヒープベースのバッファオーバーフローにより、認証されたリモートユーザーが、1NTP または2cmdmon アクセスをで割り切れる可能性があります。また、サブネットの残りにゼロ以外のビットがあるアドレスを含めることができます。
CVE-2015-18221.31.1 ] より前の chrony は、未確認の応答をコマンドリクエストに保存する際に、最後の次のポインターを初期化しません。これにより、認証されたリモートユーザーが、多数の初期化されていないポインターデリファレンスとデーモンクラッシュを引き起こしたり、コマンドリクエストに関連するベクトルを通じて、可用性に影響を与えることが可能です。
CVE-2015-1853
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
修正されたバグ:
* NTP バージョン 4 へ更新しました(RFC 5905)
* NTP サーバーのプールを指定するためにプールディレクティブを追加しました
* 時計をうるう秒に修正する方法を選択するために leapsecmode ディレクティブを追加しました
* 提供時間を調整し、leap smear によるうるう秒対策を可能にするために、smoothtime ディレクティブを追加しました
* POSIX スレッドによる非同期の名前解決を追加しました
* 2036(次の NTP の時代)年に備えました
* 時計のコントロールを改善しました
* 各 NTP サーバーに対して別のクライアントソケットを開くためにネットワーキングコードの修正が再度行われました。バグの修正
* 以前、chronyd サービスは、bindaddress ディレクティブで指定されたネットワークインターフェイスが、サービス起動時に使用できる状態であることを保証していました。これにより、インターフェースが準備できていないと、chronyd が NTP サーバーソケットをインターフェースにバインドできないことがありました。この更新で、 chronyd は IP_FREEBIND ソケットオプションを使用するようになり、サービス起動時だけでなく、後にインターフェースとバインドさせることが可能になりました。
強化:
* chronyd サービスは、leapsecmode オプションを使用するよう構成され、うるう秒を処理する 4 つのモードをサポートするようになりました。クロックは、カーネルによってステップさせられるデフォルトシステムモード、chronyd によってステップさせられるステップモード、slewing によってゆっくりと調整されるか、または通常の動作で後から修正される可能性がありますignore モード。slewing を選択した場合、修正は常に 00:00:00 UTC に開始され、maxslewrate オプションで指定されたレートで適用されます。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける chrony パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 289344
ファイル名: miracle_linux_AXSA-2015-927.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 6.5
現状値: 4.8
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS スコアのソース: CVE-2015-1822
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2015-1853
脆弱性情報
CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:chrony
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/12/11
脆弱性公開日: 2015/4/7