[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:01608] セキュリティ情報◆[OSA 2009-004] ntp

To: <orca-announce@xxxxxxxxxxxxxx>
Subject: [ORCA-ANNOUNCE:01608] セキュリティ情報◆[OSA 2009-004] ntp
From: orca-announce@xxxxxxxxxxxxxx
Date: Fri, 10 Jul 2009 11:54:02 +0900

ORCAサポートセンタです。いつもお世話になっています。

sarge向けセキュリティアップデートパッケージを提供します。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2009-004    security _at_ orca.med.or.jp

http://www.orca.med.or.jp/orca/security/ 2009/07/10---------------------------------------------------------------------------


Package         : ntp
Vulnerability   : バッファオーバーフロー
Problem type    : リモート
Debian-specific : いいえ
CVE ID          : CVE-2009-0159 CVE-2009-1252 CVE-2009-0021

ネットワーク時刻基準実装 NTP に、リモートから攻撃可能な複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。


CVE-2009-0159

  ntpq にバッファオーバフローがあり、細工したレスポンスによりリモート
  の NTP サーバでサービス拒否攻撃や、任意のコードの実行が可能です。

CVE-2009-1252

  ntpd にバッファオーバフローがあり、autokey 機能が有効になっている場
  合、リモートの攻撃者がサービス拒否攻撃や任意のコードの実行が可能で
  す。

CVE-2009-0021

  ネットワークタイムプロトコルの実装 NTP が、暗号署名の検証を行うために
  用いる OpenSSL 関数の戻り値を適切にチェックしておらず、不正な時刻情報
  を受け入れる可能性があることが発見されました (念のため、時刻サーバの暗
  号署名は、通常は有効にはなっていません)。

ディストリビューション(sarge)では、この問題はバージョン 4.2.0a+stable-2sarge.orca3で修正されています。


直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

  deb http://ftp.orca.med.or.jp/pub/sarge-updates sarge main contrib non-free

  apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

  apt-get update
          を実行して内部データベースを更新し、
  apt-get upgrade
    によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 3.1 alias sarge
---------------------------------
 ソースアーカイブ:

   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/n/ntp/ntp_4.2.0a+stable-2sarge.orca3.dsc
      Size/MD5 checksum: 627 d10f9e60aeb95f9746e0f8295f0cf094
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/n/ntp/ntp_4.2.0a+stable.orig.tar.gz
      Size/MD5 checksum: 2272395 30f8b3d5b970c14dce5c6d8c922afa3e
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/n/ntp/ntp_4.2.0a+stable-2sarge.orca3.diff.gz
      Size/MD5 checksum: 232514 ad9799eaa7b263fbdf83c9f53ad57854

アーキテクチャ非依存コンポーネント:

   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/n/ntp/ntp-doc_4.2.0a+stable-2sarge.orca3_all.deb
      Size/MD5 checksum: 888828 88065384137b1a8fff78975009a24e1a

Intel IA-32 アーキテクチャ:

   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/n/ntp/ntp_4.2.0a+stable-2sarge.orca3_i386.deb
      Size/MD5 checksum: 255616 0e2a0415be54dfa1f11ddab02b9a9b9f
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/n/ntp/ntp-server_4.2.0a+stable-2sarge.orca3_i386.deb
      Size/MD5 checksum: 31444 27d2486566ba904b2c4d16eec86c7142
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/n/ntp/ntp-simple_4.2.0a+stable-2sarge.orca3_i386.deb
      Size/MD5 checksum: 120428 7de92a22e3f6319566495cda77d85528
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/n/ntp/ntp-refclock_4.2.0a+stable-2sarge.orca3_i386.deb
      Size/MD5 checksum: 200302 74b8520d993118cc1a993f0b100cca3c
   http://ftp.orca.med.or.jp/pub/sarge-updates/pool/main/n/ntp/ntpdate_4.2.0a+stable-2sarge.orca3_i386.deb
      Size/MD5 checksum: 41704 f060dc0eb755fb1a4d372f98300a6219

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358

Prev by Date: [ORCA-ANNOUNCE:01607] セキュリティ情報◆[OSA 2009-005] cupsys
Next by Date: [ORCA-ANNOUNCE:01609] ドキュメント◆平成21年5月診療報酬改定対応
Previous by thread: [ORCA-ANNOUNCE:01607] セキュリティ情報◆[OSA 2009-005] cupsys
Next by thread: [ORCA-ANNOUNCE:01609] ドキュメント◆平成21年5月診療報酬改定対応
Index(es):
- Date
- Thread