ID CVE-2015-7976
Summary The ntpq saveconfig command in NTP 4.1.2, 4.2.x before 4.2.8p6, 4.3, 4.3.25, 4.3.70, and 4.3.77 does not properly filter special characters, which allows attackers to cause unspecified impact via a crafted filename.
References
Vulnerable Configurations
  • cpe:2.3:a:ntp:ntp:4.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.2.4:p5:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.2.4:p5:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.2.6:p5:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.2.6:p5:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.2.7:p5:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.2.7:p5:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.2.8:p5:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.2.8:p5:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.6:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.6:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.7:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.7:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.8:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.8:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.9:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.9:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.10:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.10:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.11:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.11:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.12:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.12:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.13:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.13:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.14:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.14:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.15:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.15:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.16:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.16:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.17:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.17:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.18:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.18:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.19:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.19:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.20:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.20:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.21:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.21:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.22:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.22:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.23:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.23:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.24:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.24:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.25:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.25:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.26:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.26:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.27:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.27:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.28:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.28:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.29:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.29:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.30:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.30:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.31:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.31:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.32:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.32:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.33:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.33:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.34:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.34:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.35:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.35:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.36:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.36:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.37:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.37:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.38:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.38:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.39:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.39:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.40:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.40:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.41:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.41:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.42:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.42:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.43:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.43:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.44:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.44:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.45:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.45:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.46:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.46:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.47:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.47:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.48:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.48:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.49:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.49:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.50:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.50:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.51:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.51:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.52:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.52:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.53:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.53:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.54:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.54:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.55:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.55:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.56:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.56:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.57:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.57:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.58:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.58:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.59:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.59:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.60:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.60:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.61:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.61:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.62:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.62:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.63:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.63:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.64:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.64:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.65:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.65:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.66:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.66:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.67:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.67:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.68:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.68:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.69:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.69:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.70:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.70:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.71:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.71:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.72:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.72:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.73:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.73:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.74:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.74:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.75:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.75:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.76:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.76:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.77:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.77:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.78:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.78:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.79:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.79:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.80:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.80:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.81:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.81:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.82:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.82:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.83:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.83:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.84:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.84:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.85:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.85:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.86:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.86:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.87:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.87:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.88:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.88:*:*:*:*:*:*:*
  • cpe:2.3:a:ntp:ntp:4.3.89:*:*:*:*:*:*:*
    cpe:2.3:a:ntp:ntp:4.3.89:*:*:*:*:*:*:*
  • cpe:2.3:a:suse:linux_enterprise_debuginfo:11:sp2:*:*:*:*:*:*
    cpe:2.3:a:suse:linux_enterprise_debuginfo:11:sp2:*:*:*:*:*:*
  • cpe:2.3:a:suse:linux_enterprise_debuginfo:11:sp3:*:*:*:*:*:*
    cpe:2.3:a:suse:linux_enterprise_debuginfo:11:sp3:*:*:*:*:*:*
  • cpe:2.3:a:suse:linux_enterprise_debuginfo:11:sp4:*:*:*:*:*:*
    cpe:2.3:a:suse:linux_enterprise_debuginfo:11:sp4:*:*:*:*:*:*
  • cpe:2.3:a:suse:manager:2.1:*:*:*:*:*:*:*
    cpe:2.3:a:suse:manager:2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:suse:manager_proxy:2.1:*:*:*:*:*:*:*
    cpe:2.3:a:suse:manager_proxy:2.1:*:*:*:*:*:*:*
  • cpe:2.3:o:novell:suse_openstack_cloud:5:*:*:*:*:*:*:*
    cpe:2.3:o:novell:suse_openstack_cloud:5:*:*:*:*:*:*:*
  • cpe:2.3:o:opensuse:leap:42.1:*:*:*:*:*:*:*
    cpe:2.3:o:opensuse:leap:42.1:*:*:*:*:*:*:*
  • cpe:2.3:o:opensuse:opensuse:13.2:*:*:*:*:*:*:*
    cpe:2.3:o:opensuse:opensuse:13.2:*:*:*:*:*:*:*
  • cpe:2.3:o:suse:linux_enterprise_desktop:12:*:*:*:*:*:*:*
    cpe:2.3:o:suse:linux_enterprise_desktop:12:*:*:*:*:*:*:*
  • cpe:2.3:o:suse:linux_enterprise_desktop:12:sp1:*:*:*:*:*:*
    cpe:2.3:o:suse:linux_enterprise_desktop:12:sp1:*:*:*:*:*:*
  • cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:ltss:*:*:*
    cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:ltss:*:*:*
  • cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:ltss:*:*:*
    cpe:2.3:o:suse:linux_enterprise_server:11:sp2:*:*:ltss:*:*:*
  • cpe:2.3:o:suse:linux_enterprise_server:11:sp3:*:*:ltss:*:*:*
    cpe:2.3:o:suse:linux_enterprise_server:11:sp3:*:*:ltss:*:*:*
  • cpe:2.3:o:suse:linux_enterprise_server:11:sp4:*:*:*:*:*:*
    cpe:2.3:o:suse:linux_enterprise_server:11:sp4:*:*:*:*:*:*
  • cpe:2.3:o:suse:linux_enterprise_server:12:sp1:*:*:*:*:*:*
    cpe:2.3:o:suse:linux_enterprise_server:12:sp1:*:*:*:*:*:*
  • cpe:2.3:o:suse:suse_linux_enterprise_server:12:*:*:*:*:*:*:*
    cpe:2.3:o:suse:suse_linux_enterprise_server:12:*:*:*:*:*:*:*
CVSS
Base: 4.0 (as of 30-10-2018 - 16:27)
Impact:
Exploitability:
CWE CWE-254
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
NONE PARTIAL NONE
cvss-vector via4 AV:N/AC:L/Au:S/C:N/I:P/A:N
refmap via4
cert-vn VU#718152
cisco 20160120 Multiple Vulnerabilities in Network Time Protocol Daemon Affecting Cisco Products - January 2016
confirm
freebsd FreeBSD-SA-16:09
gentoo GLSA-201607-15
sectrack 1034782
suse
  • SUSE-SU-2016:1175
  • SUSE-SU-2016:1177
  • SUSE-SU-2016:1247
  • SUSE-SU-2016:1311
  • SUSE-SU-2016:1912
  • SUSE-SU-2016:2094
  • openSUSE-SU-2016:1292
  • openSUSE-SU-2016:1423
ubuntu USN-3096-1
Last major update 30-10-2018 - 16:27
Published 30-01-2017 - 21:59
Last modified 30-10-2018 - 16:27
Back to Top