Une vulnérabilité de déni de service a été découverte dans ntp, le client/serveur du protocole de synchronisation horaire.
ntp permettait à un attaquant « hors chemin » (off-path) de bloquer une synchronisation non authentifiée à l'aide d'un mode serveur avec une adresse IP source usurpée car les transmissions étaient reprogrammées même si un paquet n’avait pas d’estampille temporelle valable (origin timestamp).
ntpd dans ntp avant la version 4.2.8p14 et les versions 4.3.x avant la version 4.3.100 permettait à un attaquant « hors chemin » de bloquer une synchronisation non authentifiée à l'aide d'un mode serveur avec une adresse IP source usurpée car les transmissions étaient reprogrammées même si un paquet n’avait pas d’estampille temporelle valable.
Pour Debian 8 Jessie
, ces problèmes ont été corrigés dans
la version 1:4.2.6.p5+dfsg-7+deb8u3.
Nous vous recommandons de mettre à jour vos paquets ntp.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.