Debian DLA-193-1：chrony セキュリティ更新

medium Nessus プラグイン ID 82716

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

CVE-2015-1853：

認証された NTP 対称型関連付けを DoS 攻撃に対する保護します。

NTP ホストである A および B が互いにピアリング（対称型関連付け）していることを知っている攻撃者が、A のホスト上で NTP 状態変数を攻撃者から送信された値に設定する B のソースアドレスを使用して、ランダムなタイムスタンプを伴うパケットをホスト A に送信する可能性があります。その後ホスト A は、次のポール上で B の送信タイムスタンプと一致しない元のタイムスタンプを伴うパケットを B に送信し、パケットはドロップします。攻撃者が両方のホストに対して定期的にこれを行った場合、両方のホストは互いに同期できなくなります。それは、サービス拒否攻撃です。

[1] によれば、NTP 認証は、この攻撃に対して対称型関連付けを保護することになっていますが、NTPv3（RFC 1305）、NTPv4（RFC 5905）仕様では、状態変数は認証チェックが行われる前に更新されます。すなわち、認証が有効になっていても関連付けが攻撃に対して脆弱であることを意味します。

この問題を修正するには、認証チェック（test5）を通過した時のみ、元のローカルタイムスタンプを保存します。

[1] https://www.eecis.udel.edu/~mills/onwire.html

CVE-2015-1821：

4 で割り切れないサブネットサイズによるアクセス構成を修正してください。

4 で割り切れるサブネットサイズ、かつ 4 ビットのサブネットリメインダーにゼロ以外のビットがあるアドレス（例、192.168.15.0/22 または f000::/3）で NTP または cmdmon アクセスが（chrony.conf からまたは認証された cmdmon を通じて）構成された場合、その新たな設定が間違った場所（場合により割り当てられた配列の外側）に書き込まれていました。

コマンドキーを保有し、cmdmon へのアクセス権のある（デフォルトではローカルホストしか許可されていない）攻撃者が、これを悪用し、chronyd をクラッシュさせたり、chronyd プロセスの権限で任意のコードを実行したりする可能性があります。

CVE-2015-1822：

認証されたコマンドへの応答スロットの初期化を修正します。

認証されたコマンドリクエストに、未確認の応答を保存するためのメモリを割り当てる場合、最後の「next」ポインターは NULL に初期化されませんでした。割り当てられた全ての応答スロットが使用された場合、次の応答は、新しいスロットが割り当てられる代わりに、無効なメモリに書き込まれる可能性があります。

コマンドキーを保有し、cmdmon へのアクセス権のある（デフォルトではローカルホストしか許可されていない）攻撃者が、これを悪用し、chronyd をクラッシュさせたり、chronyd プロセスの権限で任意のコードを実行したりする可能性があります。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。