Рекомендация Debian по безопасности

DLA-335-1 ntp -- обновление безопасности LTS

Дата сообщения:
28.10.2015
Затронутые пакеты:
ntp
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-5146, CVE-2015-5194, CVE-2015-5195, CVE-2015-5219, CVE-2015-5300, CVE-2015-7691, CVE-2015-7692, CVE-2015-7701, CVE-2015-7702, CVE-2015-7703, CVE-2015-7704, CVE-2015-7850, CVE-2015-7851, CVE-2015-7852, CVE-2015-7855, CVE-2015-7871.
Более подробная информация:

В ntp было обнаружено несколько проблем безопасности:

  • CVE-2015-5146

    Была обнаружена уязвимость в способе, используемом ntpd для обработки определённых пакетов удалённой настройки. Злоумышленник может использовать специально сформированный пакет для вызова аварийной остановки ntpd в случае, если выполнены следующие условия:

    • в ntpd включена удалённая настройка,
    • злоумышленник знает пароль для настройки,
    • злоумышленник имеет доступ к компьютеру, входящему в список доверенных компьютеров, с которых можно выполнять удалённую настройку.

    Заметьте, что удалённая настройка по умолчанию отключена в NTP.

  • CVE-2015-5194

    Было обнаружено, что ntpd аварийно завершает свою работу из-за неинициализированной переменной при обработке некорректных команд настройки logconfig.

  • CVE-2015-5195

    Было обнаружено, что ntpd завершается с ошибкой сегментирования в том случае, если тип статистики, который не был включен в ходе компиляции (например, timingstats) указывается к команде настройки statistics или filegen

  • CVE-2015-5219

    Было обнаружено, что программа sntp входит в бесконечный цикл при получении специально сформированного пакета NTP. Эта проблема связана с преобразованием точного значения в пакете в вещественное число двойной точности.

  • CVE-2015-5300

    Было обнаружено, что в ntpd неправильно реализована опция -g:

    Обычно ntpd завершается с сообщением в системный журнал в том случае, если разница по времени превышает пороговое значение паники, которое по умолчанию равна 1000 секунд. Эта опция позволяет устанавливать время в любое значение без ограничений. Тем не менее, это происходит только один раз. Если порог будет превышен после этого, то ntpd завершится с сообщением в системный журнал. Эта опция может использоваться с опциями -q и -x.

    Фактически, служба ntpd должена изменять время несколько раз на более, чем пороговое значение паники в том случае, если порядок обслуживания часов не имеет достаточного количества времени для достижения состояния синхронизации и остаётся в таком состоянии по меньшей мере одно обновление. Если злоумышленник может управлять трафиком NTP с момента запуска ntpd (или вплоть до 15-30 минут после), то он может не дать клиенту достичь состояния синхронизации и заставить его перевести часы на любое количество времени любое количество раз, что может использоваться злоумышленниками для искусственного окончания действия сертификатов и т. д.

    Это поведение не соответствует тому, что написано в документации. Обычно допущение заключается в том, что MITM-злоумышленник может перевести часы на большее количество времени за предел паники только один раз в момент запуска ntpd, и для того, чтобы изменить время на какое-либо большое значение, злоумышленнику следует разделить это действие на несколько небольших шагов, каждый из которых занимает 15 минут, что довольно медленно.

  • CVE-2015-7691, CVE-2015-7692, CVE-2015-7702

    Было обнаружено, что исправление для CVE-2014-9750 неполно: были обнаружены проблемы в проверке длины значения в ntp_crypto.c, где пакет с определёнными автоключевыми операциями, содержащими некорректные данные, не всегда проверялся полностью. Получение этих пакетов приводит к аварийной остановке ntpd.

  • CVE-2015-7701

    В CRYPTO_ASSOC в ntpd была обнаружена утечка памяти. Если ntpd настроен на использование автоключевой аутентификации, то злоумышленник может отправлять пакеты ntpd, которые в результате продолжительной многодневной атаки приведут к исчерпанию памяти.

  • CVE-2015-7703

    Мирослав Личвар из Red Hat обнаружил, что команда :config может использоваться для установки путей к pid-файлу и drift-файлу без каких-либо ограничений. Удалённый злоумышленник может использовать эту уязвимость для перезаписи файла в файловой системе файлом, содержащим pid процесса ntpd или текущее оцениваемое смещение системных часов (в часовых интервалах). Например:

        ntpq -c ':config pidfile /tmp/ntp.pid'
        ntpq -c ':config driftfile /tmp/ntp.drift'
    

    В Debian ntpd настроен так, чтобы сбрасывать привилегии суперпользователя, что ограничивает влияние этой проблемы.

  • CVE-2015-7704

    Когда ntpd в качестве NTP-клиента получает KoD-пакет (поцелуй смерти) от сервера для снижения частоты опроса, он не выполняет проверку того, совпадает ли инициированная временная отметка в ответе с временной отметкой передачи из запроса. Злоумышленник может отправить специально сформированный KoD-пакет клиенту, который увеличит интервал опроса клиента до большого значения и приведёт к отключению синхронизации с сервером.

  • CVE-2015-7850

    В удалённой настройке NTP имеется отказ в обслуживании, который может использоваться злоумышленниками. Специально сформированный файл настройки может вызвать бесконечный цикл, приводящий к отказу в обслуживании. Злоумышленник может передать некорректный файл настройки с целью вызова указанной уязвимости.

  • CVE-2015-7851

    В коде сохранения файла настройки ntpd на VMS имеется потенциальная возможность подмены пути. Специально сформированный путь может приводить к обходу пути, что потенциально приводит к перезаписи файлов. Злоумышленник может передать некорректный путь с целью вызова указанной уязвимости.

    Данная уязвимость не касается Debian.

  • CVE-2015-7852

    В cookedprint в ntpq имеется потенциальная ошибка на единицу. Специально сформированный буфер может вызвать переполнение буфера, потенциально приводящее к записи null-байта за пределами выделенного буфера памяти.

  • CVE-2015-7855

    Было обнаружено, что функция decodenetnum() в NTP прерывает работу с ошибкой утверждения в ходе обработки пакета режима 6 или режима 7, содержащего необычно длинное значение данных в месте, где ожидается сетевой адрес. Это может позволить аутентифицированному злоумышленнику аварийно завершить ntpd.

  • CVE-2015-7871

    В ntpd имеется ошибка в логике обработки ошибок, которая проявляется из-за некорректной обработки состояния ошибки, связанного с определёнными crypto-NAK пакетами. Неаутентифицированный злоумышленник может заставить процесс ntpd на целевых серверах обратиться к источникам времени, выбранным злоумышленникам, путём передачи ntpd симметричных активных crypto-NAK пакетов. Данная атака позволяет обойти аутентификацию, которая обычно требуется для установления соединения, что позволяет злоумышленнику произвольно менять системное время.