Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/10/2015
Las vulnerabilidades corregidas incluyen varios problemas de corrupción de memoria, un problema por el que se podría sobrescribir ficheros de configuración, y fallos que podrían provocar el cierre de la aplicación y por tanto causar una situación de denegación de servicio.
Pero el fallo más importante de los corregidos es uno que se ha llamado "NAK to the Future" que permitiría a un atacante poder fijar el tiempo de un servidor NTP vulnerable a su voluntad, lo que permitiría ataques contra los clientes que se sincronizan con el servidor afectado basados en la caducidad de sus certificados digitales.
Sistemas Afectados:Servidores NTP con versiones anteriores a ntp-4.2.8p4.
Referencias:CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-2015-7702
Solución:Actualizar a la versión ntp-4.2.8p4 que se acaba de publicar.
Notas:October 2015 NTP Security Vulnerability Announcement