Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/11/2016
Esta nueva versión de ntpd corrige un total de 10 vulnerabilidades.
La más grave afecta únicamente a instancias de ntpd sobre Windows y puede causar una denegación de servicio si se recibe un paquete demasiado grande.
El resto de vulnerabilidades son menos críticas e incluyen varias vulnerabilidades de consumo incontrolado de recursos, validación de entrada incorrecta, puntero a nulo, y mala configuración de los límites de envío de respuestas, entre otros.
Sistemas Afectados:Versiones de ntpd anteriores a ntp-4.2.8p9.
Referencias:CVE-2016-9311, CVE-2016-9310, CVE-2016-7427, CVE-2016-7428, CVE-2016-9312, CVE-2016-7431, CVE-2016-7434, CVE-2016-7429, CVE-2016-7426, CVE-2016-7433
Solución:Actualizar a la última versión disponible en NTP.org.
Si no es posible actualizar, implementar BCP-38 para restringir consultas de modo 6 en redes y equipos de confianza.
Notas:CERT.org Vulnerability Note VU#633847
Network Time Foundation Publishes NTP 4.2.8p9