FreeBSD:ntp -- 複数の脆弱性(b2487d9a-0c30-11e6-acd0-d050996490d0)

high Nessus プラグイン ID 90742
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

Network Time Foundation による報告:

NTF の NTP プロジェクトには、以下の重要度低から重要度中の脆弱性が通知されており、これらは 2016 年 4 月 26 日(火曜日)にリリースされた ntp-4.2.8p7 で修正されています:

- バグ 3020/CVE-2016-1551:Refclock のなりすましの脆弱性
(別名:refclock-peering)。Cisco ASIG の Matt Street 氏などによる報告

- バグ 3012/CVE-2016-1549:Sybil の脆弱性:エフェメラル関連付け攻撃(別名:ntp-sybil - 緩和のみ)。Cisco ASIG の Matthew Van Gundy 氏による報告

- バグ 3011/CVE-2016-2516:未構成ディレクティブで IP が重複すると、アサーションが失敗します。Qihoo 360 の クラウドセキュリティチームの Yihan Lian 氏による報告

- バグ 3010/CVE-2016-2517:リモート構成の trustedkey/requestkey の値が適切に検証されていません。Qihoo 360 の クラウドセキュリティチームの Yihan Lian 氏による報告

- バグ 3009/CVE-2016-2518:7 より大きい hmode で細工された addpeer により、MATCH_ASSOC で配列のラップアラウンドが発生します。Qihoo 360 の クラウドセキュリティチームの Yihan Lian 氏による報告

- バグ 3008/CVE-2016-2519:ctl_getitem() の戻り値が常にチェックされるとは限りません。Qihoo 360 の クラウドセキュリティチームの Yihan Lian 氏による報告

- バグ 3007/CVE-2016-1547:crypto-NAK を検証します(別名:nak-dos)。
Cisco ASIG の Stephen Gray 氏および Matthew Van Gundy 氏による報告

- バグ 2978/CVE-2016-1548:Interleave-pivot - 緩和のみ。
RedHat の Miroslav Lichvar 氏および Cisco ASIG の Jonathan Gardner 氏によるそれぞれ別の報告。

- バグ 2952/CVE-2015-7704:KoD の修正:ピア関連付けは NtpBug2901 用の修正により遮断されました(別名:対称アクティブ/パッシブモードが破損しています)。
NTP 開発プロジェクトのボランティアである Michael Tatarinov 氏による報告

- バグ 2945/バグ 2901/CVE-2015-8138:ゼロオリジンタイムスタンプのバイパス(別名:追加的な KoD チェック)。Cisco ASIG の Jonathan Gardner 氏による報告

- バグ 2879/CVE-2016-1550:バッファ比較タイミング攻撃に対する NTP セキュリティを改善します(別名:
authdecrypt-timing)。Loganaden Velvindron 氏、および Cisco ASIG の Matthew Van Gundy 氏と Stephen Gray によるそれぞれ別の報告。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

http://www.nessus.org/u?4a6d1cf4

http://www.nessus.org/u?2ec22417

プラグインの詳細

深刻度: High

ID: 90742

ファイル名: freebsd_pkg_b2487d9a0c3011e6acd0d050996490d0.nasl

バージョン: 2.12

タイプ: local

公開日: 2016/4/27

更新日: 2021/1/4

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

Base Score: 7.1

ベクトル: AV:N/AC:M/Au:N/C:N/I:N/A:C

CVSS v3

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:ntp, p-cpe:/a:freebsd:freebsd:ntp-devel, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2016/4/27

脆弱性公開日: 2016/4/26

参照情報

CVE: CVE-2015-7704, CVE-2015-8138, CVE-2016-1547, CVE-2016-1548, CVE-2016-1549, CVE-2016-1550, CVE-2016-1551, CVE-2016-2516, CVE-2016-2517, CVE-2016-2518, CVE-2016-2519

FreeBSD: SA-16:16.ntp