CVE-2014-9296

Опубликовано: 19 дек. 2014

Источник: redhat

CVSS2: 5

EPSS Средний

Описание

The receive function in ntp_proto.c in ntpd in NTP before 4.2.8 continues to execute after detecting a certain authentication error, which might allow remote attackers to trigger an unintended association change via crafted packets.

A missing return statement in the receive() function could potentially allow a remote attacker to bypass NTP's authentication mechanism.

Отчет

This issue did not affect the versions of ntpd as shipped with Red Hat Enterprise Linux 4 and 5. It has been addressed in Red Hat Enterprise Linux 6 and 7 via RHSA-2014:2024.

Меры по смягчению последствий

Remove or comment out all configuration directives beginning with the crypto keyword in your ntp.conf file.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 5	ntp	Not affected
Red Hat Enterprise Linux 6	ntp	Fixed	RHSA-2014:2024	20.12.2014
Red Hat Enterprise Linux 6.5 Extended Update Support	ntp	Fixed	RHSA-2015:0104	28.01.2015
Red Hat Enterprise Linux 7	ntp	Fixed	RHSA-2014:2024	20.12.2014

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low

Дефект:

CWE-390

https://bugzilla.redhat.com/show_bug.cgi?id=1176040ntp: receive() missing return on error

EPSS

Процентиль: 96%

0.28491

Средний

5 Medium

CVSS2

Связанные уязвимости

CVE-2014-9296

ubuntu

больше 10 лет назад

CVE-2014-9296

nvd

больше 10 лет назад

CVE-2014-9296

debian

больше 10 лет назад

The receive function in ntp_proto.c in ntpd in NTP before 4.2.8 contin ...

GHSA-9prp-4cr8-gqhf

github

больше 3 лет назад

BDU:2015-10239

fstec

больше 10 лет назад

Уязвимость микропрограммного обеспечения системы коммуникаций Cisco Unified Communications Manager, позволяющая удаленному злоумышленнику получить несанкционированный доступ к устройству

EPSS

Процентиль: 96%

0.28491

Средний

5 Medium

CVSS2