SUSE SLED11 / SLES11 セキュリティ更新： ntp （SUSE-SU-2015:2058-1）

critical Nessus プラグイン ID 87010

Language:

概要

リモート SuSE ホストに１つ以上のセキュリティ更新がありません。

説明

この ntp の更新は、以下のセキュリティおよび非セキュリティの問題の修正を提供します：

- 4.2.8p4 に更新して、複数のセキュリティの問題を修正してください（bsc#951608）：

- CVE-2015-7871：NAK to the Future：crypto-NAK を介して対称型関連付け認証バイパス

- CVE-2015-7855：decodenetnum() は一部の偽造値で FAIL を返す代わりに botch を ASSERT します

- CVE-2015-7854：パスワードの長さによるメモリ破損の脆弱性

- CVE-2015-7853：カスタム refclock ドライバーが提供する無効な長さのデータにより、バッファオーバーフローを引き起こす可能性があります

- CVE-2015-7852 ntpq atoascii() のメモリ破損の脆弱性

- CVE-2015-7851 saveconfig のディレクトリトラバーサルの脆弱性

- CVE-2015-7850 リモート構成の logfile-keyfile

- CVE-2015-7849 信頼できるキーの use-after-free

- CVE-2015-7848 モード 7 ループカウンターのアンダーラン

- CVE-2015-7701 CRYPTO_ASSOC での時間がかかるメモリリーク

- CVE-2015-7703 構成ディレクティブ「pidfile」および「driftfile」は、ローカルでのみ許可されるはずです

- KoD を受信する CVE-2015-7704、CVE-2015-7705 クライアントは、元のタイムスタンプフィールドを検証するはずです

- CVE-2015-7691、CVE-2015-7692、CVE-2015-7702 不完全な autokey データパケット長のチェック

- 廃止された ntpdc の代わりに ntpq が、start-ntpd で使用されます（bnc#936327）。

- 上記が機能するように、Ctrl キーが ntp.conf に追加されます。

- 以下の runtime 構成が改善されます。

- ntp.conf からキータイプが読み取られます

- ntp キーが syslog に書き込まれません。

- ntp.conf 内の「keysdir」行が「keys」パーサーを開始しないようになります。

- ntp.conf で addserver に関するコメントが修正されます（bnc#910063）。

- ntp.1.gz が削除され、インストールされなくなりました。

- ntp-4.2.7-rh-manpages.tar.gz が削除され、ntptime.8.gz のみが維持されます。それ以外は、部分的に無意味、部分的に冗長、および部分的に期限切れになります（bsc#942587）。

- ntp.conf の制限行から「kod」が削除されます（bsc#944300）。

- 対称鍵に対して MD5 の代わりに SHA1 が使用されます（bsc#905885）。

- perl-Socket6 が必要です（bsc#942441）。

- 「rcntp ntptimemset」の不完全なバックポートが修正されます。

注意：Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
または、お使いの製品用に一覧になったコマンドを実行することも可能です。

SUSE Linux Enterprise Server 11-SP4：

zypper in -t patch slessp4-ntp-12218=1

SUSE Linux Enterprise Desktop 11-SP4：

zypper in -t patch sledsp4-ntp-12218=1

SUSE Linux Enterprise Debuginfo 11-SP4：

zypper in -t patch dbgsp4-ntp-12218=1

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=905885

https://bugzilla.suse.com/show_bug.cgi?id=910063

https://bugzilla.suse.com/show_bug.cgi?id=936327

https://bugzilla.suse.com/show_bug.cgi?id=942441

https://bugzilla.suse.com/show_bug.cgi?id=942587

https://bugzilla.suse.com/show_bug.cgi?id=944300

https://bugzilla.suse.com/show_bug.cgi?id=951608

https://www.suse.com/security/cve/CVE-2015-7691/

https://www.suse.com/security/cve/CVE-2015-7692/

https://www.suse.com/security/cve/CVE-2015-7701/

https://www.suse.com/security/cve/CVE-2015-7702/

https://www.suse.com/security/cve/CVE-2015-7703/

https://www.suse.com/security/cve/CVE-2015-7704/

https://www.suse.com/security/cve/CVE-2015-7705/

https://www.suse.com/security/cve/CVE-2015-7848/

https://www.suse.com/security/cve/CVE-2015-7849/

https://www.suse.com/security/cve/CVE-2015-7850/

https://www.suse.com/security/cve/CVE-2015-7851/

https://www.suse.com/security/cve/CVE-2015-7852/

https://www.suse.com/security/cve/CVE-2015-7853/

https://www.suse.com/security/cve/CVE-2015-7854/

https://www.suse.com/security/cve/CVE-2015-7855/

https://www.suse.com/security/cve/CVE-2015-7871/

http://www.nessus.org/u?b9441511

https://www.tenable.com/security/research/tra-2015-04

プラグインの詳細

深刻度: Critical

ID: 87010

ファイル名: suse_SU-2015-2058-1.nasl

バージョン: 2.19

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2015/11/23

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus