В ntpd выявлена уязвимость, которая может привести к удалённому выполнению кода

В демоне синхронизации точного времени ntpd 4.2.8 устранены критические уязвимости (CVE-2014–9295), вызванные ошибками, приводящими к переполнению буфера в коде функций crypto_recv (), ctl_putdata () и configure (). Отправив специальным образом оформленный пакет, злоумышленник может инициировать отказ в обслуживании или организовать выполнение своего кода в системе с правами процесса ntpd, который обычно выполняется под пользователем ntp. Уязвимость в crypto_recv () проявляется при включении в ntp.conf режима Autokey Authentication через директивы «crypto pw…». Для защиты следует отключить в конфигурации все директивы, начинающиеся со слова «crypto». При этом, так как аналогичные проблемы в ctl_putdata () и configure () проявляются при любой конфигурации, защититься от всех уязвимостей можно только обновив ntpd до версии 4.2.8 или установив патч.

В настоящее время обновлений пакетов с устранением проблемы не зафиксировано. Оценить появление обновлений в дистрибутивах можно на следующих страницах: openSUSE, SLES, Slackware, Gentoo, CentOS, RHEL 6, RHEL 7, Ubuntu, Debian, Fedora, FreeBSD, NetBSD.

© OpenNet