Vulnerability CVE-2017-6460: Information

Description

Stack-based buffer overflow in the reslist function in ntpq in NTP before 4.2.8p10 and 4.3.x before 4.3.94 allows remote servers have unspecified impact via a long flagstr variable in a restriction list response.

Severity: HIGH (8.8) Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

URL: https://nvd.nist.gov/vuln/detail/CVE-2017-6460

Published: March 27, 2017

Modified: Oct. 24, 2017

Error type identifier: CWE-119

Fixed packages

Package name	Branch	Fixed in version	Version from repository	Errata ID	Task #	State
ntp	sisyphus	4.2.8p10-alt1	4.2.8p15-alt4	ALT-PU-2017-2335-1	188931	Fixed
ntp	p10	4.2.8p10-alt1	4.2.8p15-alt3	ALT-PU-2017-2335-1	188931	Fixed
ntp	p9	4.2.8p10-alt1	4.2.8p15-alt1	ALT-PU-2017-2335-1	188931	Fixed
ntp	p8	4.2.8p11-alt0.M80P.1	4.2.8p15-alt0.M80P.1	ALT-PU-2018-1364-1	201312	Fixed
ntp	c10f1	4.2.8p10-alt1	4.2.8p15-alt3	ALT-PU-2017-2335-1	188931	Fixed
ntp	c9f2	4.2.8p10-alt1	4.2.8p15-alt3	ALT-PU-2017-2335-1	188931	Fixed
ntp	c7	4.2.8p10-alt0.M70C.1	4.2.8p10-alt0.M70C.1	ALT-PU-2017-2340-1	188933	Fixed

References to Advisories, Solutions, and Tools

Hyperlink	Resource
1038123	Third Party Advisory VDB Entry
http://support.ntp.org/bin/view/Main/SecurityNotice#March_2017_ntp_4_2_8p10_NTP_Secu	Vendor Advisory
http://support.ntp.org/bin/view/Main/NtpBug3377	Patch Vendor Advisory
97052	Third Party Advisory VDB Entry
https://support.apple.com/HT208144
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbux03962en_us
https://security.paloaltonetworks.com/CVE-2017-6460

Affected configurations:
1. Configuration 1
  cpe:2.3:a:ntp:ntp:4.3.80:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.51:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.17:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.30:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.74:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.67:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.14:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.27:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.13:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.36:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.16:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.35:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.53:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.64:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.20:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.40:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.68:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.46:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.77:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.1:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.6:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.2:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.78:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.79:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.61:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.42:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.10:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.88:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.2.8:p9:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.69:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.92:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.65:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.48:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.71:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.11:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.34:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.58:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.31:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.86:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.85:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.9:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.57:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.83:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.93:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.22:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.56:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.25:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.91:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.70:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.59:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.21:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.39:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.4:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.49:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.50:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.60:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.54:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.15:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.12:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.90:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.43:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.45:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.66:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.0:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.3:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.81:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.84:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.24:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.28:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.18:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.76:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.33:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.7:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.38:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.72:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.87:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.29:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.23:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.63:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.52:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.41:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.47:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.37:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.73:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.5:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.82:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.75:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.32:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.19:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.44:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.55:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.26:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.62:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.8:*:*:*:*:*:*:*
  cpe:2.3:a:ntp:ntp:4.3.89:*:*:*:*:*:*:*

Version: v24.4.2

Vulnerability CVE-2017-6460: Information

Description

Fixed packages

References to Advisories, Solutions, and Tools

Configuration 1