Mises à jour ntp à faire suite à la faille CVE-2014-9295

Posté par  . Édité par Benoît Sibaud, Jiehong, Florent Zara, Nÿco, Nils Ratusznik et BAud. Modéré par Nÿco. Licence CC By‑SA.
30
26
déc.
2014
Sécurité

De multiples failles de sécurité ont été identifiées et comblées dans ntp (le logiciel de ntp.org, pas le protocole NTP en général) ces derniers jours. Il s'agit de plusieurs failles avec notamment :

  • deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code avec les privilèges du processus ntpd lancé ;
  • d'une faiblesse dans la génération des clés, il est donc conseillé de recréer ces dernières après la mise à jour dans certains cas.

Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur ntpd, mais il est préférable d'être prévenu :)

Cette faille a été identifiée et nommée CVE-2014-9295. Elle concerne toutes les versions de ntp jusqu'à la 4.2.7 et la version corrective 4.2.8 est parue le 18 décembre 2014.

NdM : il existe d'autres logiciels libres pouvant servir pour la synchronisation NTP, comme openntpd (non vulnérable) issu d'OpenBSD, Ntimed (client uniquement) sponsorisé par la Linux Foundation, chrony, etc.

Aller plus loin

  • # Origine ?

    Posté par  . Évalué à 2.

    J'ai une petite question : Ces failles ont-elles été trouvées dans le cadre des audits lancées après l'affaire Heartbleed sur OpenSSL ?

  • # quelle implem ? quelle version ?

    Posté par  . Évalué à 2.

    j'ai surtout du mal à comprendre : quelles applications sont touchées ? car il y a plusieurs implantations de NTP. Lesquelles sont sensibles ? quelle version ?

    Exemple : ntpd est-il touché ? openntp ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.