openSUSE セキュリティ更新：ntp（openSUSE-2015-767）

critical Nessus プラグイン ID 86964

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

この ntp の更新は、以下のセキュリティおよび非セキュリティの問題の修正を提供します：

- 4.2.8p4 に更新して、複数のセキュリティの問題を修正してください（bsc#951608）：

- CVE-2015-7871：NAK to the Future：crypto-NAK を介して対称型関連付け認証バイパス

- CVE-2015-7855：decodenetnum() は一部の偽造値で FAIL を返す代わりに botch を ASSERT します

- CVE-2015-7854：パスワードの長さによるメモリ破損の脆弱性

- CVE-2015-7853：カスタム refclock ドライバーが提供する無効な長さのデータにより、バッファオーバーフローを引き起こす可能性があります

- CVE-2015-7852 ntpq atoascii() のメモリ破損の脆弱性

- CVE-2015-7851 saveconfig のディレクトリトラバーサルの脆弱性

- CVE-2015-7850 リモート構成の logfile-keyfile

- CVE-2015-7849 信頼できるキーの use-after-free

- CVE-2015-7848 モード 7 ループカウンターのアンダーラン

- CVE-2015-7701 CRYPTO_ASSOC での時間がかかるメモリリーク

- CVE-2015-7703 構成ディレクティブ「pidfile」および「driftfile」は、ローカルでのみ許可されるはずです

- KoD を受信する CVE-2015-7704、CVE-2015-7705 クライアントは、元のタイムスタンプフィールドを検証するはずです

- CVE-2015-7691、CVE-2015-7692、CVE-2015-7702 不完全な autokey データパケット長のチェック

- ntp-memlock.patch を廃止。

- コントロールキー行がない場合、コントロールキー行を /etc/ntp.conf に追加し、ntpq によりランタイム構成を可能にします。