On 08 Jun, Lev Lamberov wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA512 > > - --- english/security/2015/dla-335.wml 2016-04-08 01:24:54.000000000 +0500 > +++ russian/security/2015/dla-335.wml 2016-06-08 23:22:32.308602334 +0500 > @@ -1,148 +1,150 @@ > <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5300">CVE-2015-5300</a> > > - - <p>It was found that ntpd did not correctly implement the -g option:</p> > + <p>Было обнаружено, что в ntpd неправильно реализована опция -g:</p> > > - - <p>Normally, ntpd exits with a message to the system log if the offset > - - exceeds the panic threshold, which is 1000 s by default. This > - - option allows the time to be set to any value without restriction; > - - however, this can happen only once. If the threshold is exceeded > - - after that, ntpd will exit with a message to the system log. This > - - option can be used with the -q and -x options.</p> > - - > - - <p>ntpd could actually step the clock multiple times by more than the > - - panic threshold if its clock discipline doesn't have enough time to > - - reach the sync state and stay there for at least one update. If a > - - man-in-the-middle attacker can control the NTP traffic since ntpd > - - was started (or maybe up to 15-30 minutes after that), they can > - - prevent the client from reaching the sync state and force it to step > - - its clock by any amount any number of times, which can be used by > - - attackers to expire certificates, etc.</p> > - - > - - <p>This is contrary to what the documentation says. Normally, the > - - assumption is that an MITM attacker can step the clock more than the > - - panic threshold only once when ntpd starts and to make a larger > - - adjustment the attacker has to divide it into multiple smaller > - - steps, each taking 15 minutes, which is slow.</p></li> > + <p>При обычных обстоятельствах ntpd завершается с сообщением в системный журнал в том случае, если > + отступ превышает предельную для паники величину, которая по умолчанию равна 1000 секунд. Эта > + опция позволяет устанавливать время в любое значение без ограничений. > + Тем не менее, это происходит только один раз. Если после этого превышается > + предельная величина, то ntpd завершается с сообщением в системный журнал. Эта > + опция может использоваться с опциями -q и -x.</p> Что-то я не понял разницы между последствиями первого и второго превышения предельной величины. Судя по этому абзацу в обоих случаях ntpd завершает свое выполнение с сообщением в системный журнал. > + > + <p>Фактически, ntpd должен изменять время несколько раз на более, чем > + предельную для паники величину в том случае, если порядок обслуживания часов не имеет достаточного > + количества времени для достижения состояния синхронизации и остаётся > + в таком состоянии по меньшей мере одно обновление. Если > + злоумышленник может управлять трафиком NTP с момента запуска ntpd > + (или вплоть до 15-30 минут после), то он может > + не дать клиенту достичь состояния синхронизации и заставить его перевести > + часы на любое количество времени любое количество раз, что может использоваться > + злоумышленниками для искусственного окончания действия сертификатов и т. д.</p> > + > + <p>Это поведение не соответствует тому, что написано в документации. Обычно > + допущение заключается в том, что MITM-злоумышленник может перевести часы на большее количество > + времени за предельную для паники величину только один раз в момент запуска ntpd, и для того, чтобы изменить > + время на какое-либо большое значение, злоумышленнику следует разделить это действие на несколько небольших > + шагов, каждый из которых занимает 15 минут, что довольно медленно.</p></li> > > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7701">CVE-2015-7701</a> > > - - <p>A memory leak flaw was found in ntpd's CRYPTO_ASSOC. If ntpd is > - - configured to use autokey authentication, an attacker could send > - - packets to ntpd that would, after several days of ongoing attack, > - - cause it to run out of memory.</p></li> > + <p>В CRYPTO_ASSOC в ntpd была обнаружена утечка памяти. Если ntpd > + настроен на использование автоключевой аутентификации, то злоумышленник может отправлять > + пакеты ntpd, которые по истечению нескольких дней продолжающей атаки продолжающейСЯ > + приведут к истощению памяти.</p></li> > > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7850">CVE-2015-7850</a> > > - - <p>An exploitable denial of service vulnerability exists in the remote > - - configuration functionality of the Network Time Protocol. A > - - specially crafted configuration file could cause an endless loop > - - resulting in a denial of service. An attacker could provide a the > - - malicious configuration file to trigger this vulnerability.</p></li> > + <p>В удалённой настройке NTP имеется отказ в обслуживании, который > + может использовать злоумышленниками. Специально использоватьСЯ > + сформированный файл настройки может вызвать бесконечный цикл, > + приводящий к отказу в обслуживании. Злоумышленник может передать > + некорректный файл настройки с целью вызова указанной уязвимости.</p></li> > > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7871">CVE-2015-7871</a> > > - - <p>An error handling logic error exists within ntpd that manifests due > - - to improper error condition handling associated with certain > - - crypto-NAK packets. An unauthenticated, off-path attacker can force > - - ntpd processes on targeted servers to peer with time sources of the > - - attacker's choosing by transmitting symmetric active crypto-NAK > - - packets to ntpd. This attack bypasses the authentication typically > - - required to establish a peer association and allows an attacker to > - - make arbitrary changes to system time.</p></li> > + <p>В ntpd имеется ошибка в логике обработки ошибок, которая проявляется из-за > + некорректной обработки состояния ошибки, связанного с определёнными > + crypto-NAK пакетов. Неаутентифицированный злоумышленник может заставить пакетАМИ? > + процесс ntpd на целевых серверах обратиться к источникам времени, > + выбранным злоумышленникам, путём передачи ntpd симметричных активных crypto-NAK > + пакетов. Данная атака позволяет обойти аутентификацию, которая обычно > + требуется для установления соединения, что позволяет злоумышленнику > + произвольно менять системное время.</p></li> -- Best regards, Andrey Skvortsov
Attachment:
signature.asc
Description: PGP signature