Bug 7540 - [UPDATE REQUEST] ntp 4.2.8p8 → 4.2.8p9
: [UPDATE REQUEST] ntp 4.2.8p8 → 4.2.8p9
Status: VERIFIED FIXED
Product: Desktop Bugs
Classification: ROSA Desktop
Component: Main Packages
: Fresh
: All Linux
: Normal normal
: ---
Assigned To: ROSA Linux Bugs
: ROSA Linux Bugs
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2016-11-24 16:36 MSK by Алзим
Modified: 2016-12-07 12:47 MSK (History)
3 users (show)

See Also:
RPM Package:
ISO-related:
Bad POT generating:
Upstream:
vladimir.potapov: qa_verified+
andrey.bondrov: published+


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Алзим 2016-11-24 16:36:36 MSK
Доступен корректирующий выпуск сервера для синхронизации точного времени NTP 4.2.8p9, в котором устранено 10 уязвимостей, которые могут привести к отказу в обслуживании, путём исчерпания доступных ресурсов или инициирования краха процесса. Одна из уязвимостей (CVE-2016-7434) достаточно проста в эксплуатации и может привести к краху процесса ntpd при отправке специально оформленного пакета без необходимости прохождения аутентификации (проблема проявляется на ранней стадии соединения):


    echo "FgoAEAAAAAAAAAA2bm9uY2UsIGxhZGRyPVtdOkhyYWdzPTMyLCBsY"\
    "WRkcj1bXTpXT1AAMiwgbGFkZHI9W106V09QAAA=" | base64 -d | nc -u -v 127.0.0.1 123

http://www.opennet.ru/opennews/art.shtml?num=45553
Comment 1 Алзим 2016-11-24 16:37:49 MSK
Updated to 4.2.8p9

https://abf.io/build_lists/2757719
https://abf.io/build_lists/2757720
Comment 2 Vladimir Potapov 2016-12-02 11:46:59 MSK
The update is sent to expanded testing
****************************************
Comment 3 Vladimir Potapov 2016-12-06 19:17:33 MSK
ntp-4.2.8p9-1
https://abf.io/build_lists/2757719
https://abf.io/build_lists/2757720
********************** Advisory **********************
Updated to 4.2.8p9, fix Updated to 4.2.8p9
*****************************************************
QA Verified