-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2017-4
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2017/08/07
 最終更新日   : 2017/08/07

 パッケージ名 : ntp
 
 タイトル : NTP に複数の脆弱性
 
 概要 : NTP は時刻同期に用いられます。クライアントやサーバを参照先に従って
       時刻合わせをします。
 
       NTP に複数の脆弱性が存在します。
 
 影響 : MATCH_ASSOC に境界外が参照される脆弱性が存在します。
       第三者が細工した hmode 値に大きな値を持った addpeer を使用し境界外が
       参照される(Out-of-Bounds Reference)可能性があります(CVE-2016-2518)。
 
       rocess_packet 関数に DoS 状態にされる脆弱性が存在します。
       第三者が送信元 IP アドレスに細工したパケットを送信することで DoS 状態
       (ピア変数の変更)にされる可能性があります(CVE-2016-4954)。
 
       ntpd の制御モード(mode 6)機能に trap が設定されたり、設定が解除される
       脆弱性が存在します。
       第三者が細工した制御モードパケットを使用して trap が設定されたり、又は
       設定が解除される可能性があります(CVE-2016-9310)。
 
       trap サービスが有効な場合、DoS 状態にされる脆弱性が存在します。
       第三者が細工した制御モードパケットを使用して DoS 状態(NULL ポインタ
       デリファレンス、およびクラッシュ)にされる可能性があります(CVE-2016-9311)。
 
       ctl_put 関数にバッファオーバーフローの脆弱性が存在します。
       リモート認証された第三者が意図的に長い変数を使用してバッファーオーバー
       フローが引き起こされる、不特定の影響を受ける可能性があります(CVE-2017-6458)。
 
       Datum Programmable Time Server(DPTS)ドライバにバッファオーバーフローの
       脆弱性が存在します。
       第三者が細工した /dev/datum デバイスを介してバッファーオーバーフローが
       引き起こされる、不特定の影響を受ける可能性があります(CVE-2017-6462)。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u ntp ntp-server
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   ntp-4.2.4p3-8.src.rpm
      3455112 1463c66ded1f9474fe523d155762f8a9

   Binary Packages
   Size: MD5

   ntp-4.2.4p3-8.x86_64.rpm
      1230413 dee21c0d1651b8c0469d55d80f632d2b
   ntp-server-4.2.4p3-8.x86_64.rpm
       245096 f190a4626e66dede00b4a8c745446753

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   ntp-4.2.4p3-8.src.rpm
      3455112 1463c66ded1f9474fe523d155762f8a9

   Binary Packages
   Size: MD5

   ntp-4.2.4p3-8.i686.rpm
      1208460 34214f8b4027f9f473d358a42eb6a3d7
   ntp-server-4.2.4p3-8.i686.rpm
       241116 9b9024eff8918396c64b520200fc62d4

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/ntp-4.2.4p3-8.src.rpm
      3455112 9a321d8315949a8c967cffb46620ca28

   Binary Packages
   Size: MD5

   ntp-4.2.4p3-8.x86_64.rpm
      1230413 0c2cacc20e063c6481d05643916c9f6b
   ntp-server-4.2.4p3-8.x86_64.rpm
       245096 ed8a9f3da17b9779f1ccdcd67b127fc0

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/ntp-4.2.4p3-8.src.rpm
      3455112 b8ed2cb237025035095024f209647198

   Binary Packages
   Size: MD5

   ntp-4.2.4p3-8.i686.rpm
      1208460 37b192ff3a4c3d4d4ccd510104c714b3
   ntp-server-4.2.4p3-8.i686.rpm
       241116 796731aa1d8bb77474dbf785287e3b11


 関連文章 :

 CVE
   [CVE-2016-2518]
   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2518
   [CVE-2016-4954]
   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4954
   [CVE-2016-9310]
   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9310
   [CVE-2017-6458]
   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6458
   [CVE-2017-6462]
   https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6462

 --------------------------------------------------------------------------
 更新履歴
   初版   2017/08/07
 --------------------------------------------------------------------------

 Copyright(C) 2017 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlmIGRAACgkQK0LzjOqIJMylqgCeOhF9EJ81a00Mw4Gwimas0eHE
fHgAoKFV5hQyBb3pxhZiselEIkuj6xP/
=Br+V
-----END PGP SIGNATURE-----