ГлавнаяБаза уязвимостей БДУ → BDU:2020-03220
7.8высокая

BDU:2020-03220 (CVE-2020-11868)

Уязвимость демона ntpd реализации протокола синхронизации времени NTP, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-07-09
Описание

Уязвимость демона ntpd реализации протокола синхронизации времени NTP связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)OpenSUSE Leap (15.1)Debian GNU/Linux (8)NTP (до 4.2.7 включительно)NTP (до 4.2.8p9 включительно)NTP (от 4.3.98 до 4.3.100)РЕД ОС (7.3)Astra Linux Special Edition (1.7)
Способ устранения

Использование рекомендаций:
Для NTP:
http://support.ntp.org/bin/view/Main/NtpBug3592

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/05/msg00004.html

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00005.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11868

Для ОС Astra Linux Special Edition 1.7:
обновить пакет ntp до 1:4.2.8p15+dfsg-1+ci202109031329+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-ntp-cve-2018-8956-cve-2020-15025-cve-2020-11868-cve-2020-13817/?sphrase_id=715725

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://support.ntp.org/bin/view/Main/NtpBug3592https://lists.debian.org/debian-lts-announce/2020/05/msg00004.htmlhttps://lists.opensuse.org/opensuse-security-announce/2020-07/msg00005.htmlhttps://access.redhat.com/security/cve/cve-2020-11868https://nvd.nist.gov/vuln/detail/CVE-2020-11868https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-ntp-cve-2018-8956-cve-2020-15025-cve-2020-11868-cve-2020-13817/?sphrase_id=715725
Проверьте безопасность своего сайта и почты → Полная проверка домена