Vigil@nce - NTP.org : multiples vulnérabilités
janvier 2017 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de NTP.org.
Produits concernés : Blue Coat CAS, Cisco ASR, Cisco Catalyst,
IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS,
Prime Collaboration Assurance, Cisco Prime DCNM, Prime
Infrastructure, Cisco Prime LMS, Cisco Router, Secure ACS, Cisco
CUCM, Cisco Unified CCX, Cisco MeetingPlace, Cisco Unity
précis, BIG-IP Hardware, TMOS, Fedora, FreeBSD, Meinberg NTP
Server, NTP.org, openSUSE Leap, Solaris, Slackware, Spectracom
SecureSync, Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Date création : 21/11/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans NTP.org.
Un attaquant peut provoquer une erreur d’assertion, afin de mener
un déni de service. [grav:2/4 ; CVE-2016-9311, TALOS-2016-0204]
Un attaquant peut contourner les mesures de sécurité via Mode 6,
afin d’obtenir des informations sensibles. [grav:2/4 ;
CVE-2016-9310, TALOS-2016-0203]
Un attaquant peut provoquer une erreur fatale via Broadcast Mode
Replay, afin de mener un déni de service. [grav:2/4 ;
CVE-2016-7427, TALOS-2016-0131]
Un attaquant peut provoquer une erreur fatale via Broadcast Mode
Poll Interval, afin de mener un déni de service. [grav:2/4 ;
CVE-2016-7428, TALOS-2016-0130]
Un attaquant peut envoyer des paquets UDP malveillants, afin de
mener un déni de service sur Windows. [grav:2/4 ; CVE-2016-9312]
Une vulnérabilité inconnue a été annoncée via Zero Origin
Timestamp. [grav:2/4 ; CVE-2016-7431]
Un attaquant peut forcer le déréférencement d’un pointeur NULL
via _IO_str_init_static_internal(), afin de mener un déni de
service. [grav:2/4 ; CVE-2016-7434]
Une vulnérabilité inconnue a été annoncée via Interface
selection. [grav:2/4 ; CVE-2016-7429]
Un attaquant peut provoquer une erreur fatale via Client Rate
Limiting, afin de mener un déni de service. [grav:2/4 ;
CVE-2016-7426]
Une vulnérabilité inconnue a été annoncée via Reboot Sync.
[grav:2/4 ; CVE-2016-7433]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/NTP-org-multiples-vulnerabilites-21170