blob: 0b79334462306988b91ce020203e0f964e3fc0a9 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" maintainer="Lev Lamberov"
<define-tag description>несколько уязвимостей</define-tag>
<define-tag moreinfo>
<p>В chrony, парной программе, используемой для контроля точности системных часов
компьютера, было обнаружено несколько уязвимостей.
Эти уязвимости схожи с проблемами безопасности NTP <a href="https://security-tracker.debian.org/tracker/CVE-2009-3563">CVE-2009-3563</a>. Проект Common
Vulnerabilities and Exposures определяет следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-0292">CVE-2010-0292</a>
<p>chronyd отвечает на все cmdmon-пакеты с сообщениями NOHOSTACCESS, даже от
неавторизованных узлов. Злоумышленник может использовать это поведение для создания
ситуации, в которой несколько экземпляров chronyd отправляют друг другу пакет с указанными
характеристиками с поддельными адресом и портом источника. Это приводит к высокому потреблению
ресурсов ЦП и пропускной способности сети, а потому к отказу в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-0293">CVE-2010-0293</a>
<p>Средства ведения журнала на клиенте chronyd не ограничивают потребление памяти, используемой
для хранения клиентской информации. Злоумышленник может вызвать ситуацию, в которой chronyd выделит
большой объём памяти, путём отправки NTP или cmdmon-пакетов с поддельными
адресами источника, что приводит к исчерпанию памяти.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-0294">CVE-2010-0294</a>
<p>В chronyd отсутствует управление ограничением скорости передачи данных syslog при
журналировании получаемых пакетов от неавторизованных узлов. Это позволяет злоумышленнику
вызывать отказ в обслуживании путём повторяющейся отправки некорректных cmdmon-пакетов, что
приводит к заполнению журналов, а таким образом и использованию всего дискового пространства.</p></li>
</ul>
<p>В предыдущем стабильном выпуске (etch) эта проблема была исправлена в
версии 1.21z-5+etch1.</p>
<p>В стабильном выпуске (lenny) эта проблема была исправлена в
версии 1.23-6+lenny1.</p>
<p>В тестируемом (squeeze) и нестабильном (sid) выпусках эта проблема
будет исправлена позже.</p>
<p>Рекомендуется обновить пакеты chrony.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-1992.data"
# $Id$
|
