Inicio / Alerta Temprana / Avisos Seguridad / Actualización de seguridad de NTP

Actualización de seguridad de NTP

Fecha de publicación: 
04/05/2016
Importancia: 
3 - Media
Recursos afectados: 

Todas las versiones de NTP anteriores a la ntp-4.2.8p7.

Descripción: 
Se ha publicado una actualización de seguridad de NTP que resuelve varias vulnerabilidades.
Solución: 

Actualizar a la versión ntp-4.2.8p7.

Detalle: 

El detalle de algunas de las vulnerabilidades resueltas es el siguiente:

  • Vulnerabilidad por impersonación de Refclock. Se ha reservado el identificador CVE-2016-1551 para esta vulnerabilidad.
  • Problemas con direcciones IP duplicadas en algunas directivas. Se ha reservado el identificador CVE-2016-2516 para esta vulnerabilidad.
  • Mitigación de la vulnerabilidad Sybil, también conocida como ataque de asociación efímera. Se ha reservado el identificador CVE-2016-2549 para esta vulnerabilidad.
  • Validación incorrecta de algunas claves de configuración remota. Se ha reservado el identificador CVE-2016-2517 para esta vulnerabilidad.
  • Un paquete de añadir par con hmode > 7 provocaba reinicio del índice del array con MATCH ASSOC. Se ha reservado el identificador CVE-2016-2518 para esta vulnerabilidad.
  • El valor de retorno de ctl_getitem() no siempre se comprobaba. Se ha reservado el identificador CVE-2016-2519 para esta vulnerabilidad.
  • Validación crypto-NAK. Se ha reservado el identificador CVE-2016-1547 para esta vulnerabilidad.
  • Mitigación del Interleave pilot, con identificador reservado CVE-2016-1548.
  • Arreglada la asociación de pares que dejó de funcionar al solucionar el NtpBug2901. Se ha reservado el identificador CVE-2015-7704.
  • Zero Origin Timestamp Bypass. Se ha reservado el identificador CVE-2015-8138.
  • Mejora de la seguridad de NTP frente a ataques de comparación temporal de búfer (authdecrypt-timing). Se ha reservado el identificador CVE-2016-1550.
Para más información, consultar referencias.
Etiquetas: