blob: b803debab148b50444d25966fc308b53b85c133e (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>flera sårbarheter</define-tag>
<define-tag moreinfo>
<p>Flera sårbarheter har upptäckts i chrony, en uppsättning program
som används för att behålla en korrekt systemklocka på en dator.
Dessa problem likar säkerhetsbristen i NTP <a href="https://security-tracker.debian.org/tracker/CVE-2009-3563">CVE-2009-3563</a>. Projektet Common
Vulnerabilities and Exposures identifierar följande problem:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-0292">CVE-2010-0292</a>
<p>chronyd svarar på alla cmdmon-paket med NOHOSTACCESS-meddelanden, även för
oautentiserade värdar. En angripare kan använda detta beteende för att få två
instanser av chronyd att spela paket-ping-pong, genom att skicka ett sådant paket med
låtsad källadress och -port. Detta resulterar i hög CPU- och nätverksförbrukning
och alltså överbelastningstillstånd.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-0293">CVE-2010-0293</a>
<p>Klientloggningsfunktionaliteten i chronyd begränsar inte minnet som används
för att lagra klientinformation. En angripare kan få chronyd att allokera
stora mängder minne genom att skicka NTP- eller cmdmon-paket med låtsad
källadress, vilket resulterar i att minnet tar slut.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-0294">CVE-2010-0294</a>
<p>chronyd saknar kontroll över någon slags hastighetsbegränsning vid användning av syslog, när
emottagna paket tas emot från oautentiserade värdar. Detta möjliggör för en angripare att
orsaka överbelastningstillstånd genom att fylla loggarna och på detta sätt förbruka diskutrymme
genom att upprepat skicka ogiltigta cmdmon-paket.</p></li>
</ul>
<p>För den gamla stabila utgåvan (Etch) har detta problem rättats i
version 1.21z-5+etch1.</p>
<p>För den stabila utgåvan (Lenny) har detta problem rättats i
version 1.23-6+lenny1.</p>
<p>För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) kommer detta problem
att rättas inom kort.</p>
<p>Vi rekommenderar att ni uppgraderar era chrony-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-1992.data"
|