Debians sikkerhedsbulletin

DSA-3388-1 ntp -- sikkerhedsopdatering

Rapporteret den:
1. nov 2015
Berørte pakker:
ntp
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-9750, CVE-2014-9751, CVE-2015-3405, CVE-2015-5146, CVE-2015-5194, CVE-2015-5195, CVE-2015-5219, CVE-2015-5300, CVE-2015-7691, CVE-2015-7692, CVE-2015-7701, CVE-2015-7702, CVE-2015-7703, CVE-2015-7704, CVE-2015-7850, CVE-2015-7852, CVE-2015-7855, CVE-2015-7871.
Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i dæmon og værktøjsprogrammerne til Network Time Protocol:

  • CVE-2015-5146

    Der blev fundet en fejl i den måde, ntpd behandlede visse fjernopsatte pakker. En angriber kunne anvende en særligt fremstillet pakke til at få ntpd til at gå ned, hvis:

    • fjernopsætning er aktiveret i ntpd
    • angriberen kender opsætningsadgangskoden
    • angriberen har adgang til en computer, med tilladelse til at udføre fjernopsætning

    Bemærk at fjernopsætning som standard er deaktiveret i NTP.

  • CVE-2015-5194

    Man opdagede at ntpd kunne gå ned på grund af en uinitialiseret variabel ved behandling af misdannede logconfig-opsætningskommandoer.

  • CVE-2015-5195

    Man opdagede at ntpd afsluttede med en segmenteringsfejl, når en statistiktype, som ikke var aktiveret under kompileringen (fx timingstats) blev refereret af opsætningskommandoerne statistics eller filegen.

  • CVE-2015-5219

    Man opdagede at sntp-programmet kom til at hænge i en uendelig løkke, når en fabrikeret NTP-pakke blev modtaget, relateret til konvertering af pakkens nøjagtighedsværdi til double.

  • CVE-2015-5300

    Man opdagede at ntpd ikke på korrekt vis implementerede indstillingen -g:

    Normalt afslutter ntpd med en meddelelse til systemloggen, hvis offset'et overskrider paniktærsklen, hvilket som standard er 1000 sekunder. Indstillingen gør det muligt at opsætte tiden til en vilkårlig værdi uden begrænsninger; men, det kan kun ske en gang. Hvis en tærskel derefter blev overskredet, ville ntpd afslutte med en meddelelse til systemloggen. Indstillingen kan anvendes sammen med indstillingerne -q og -x.

    ntpd kunne stille uret flere gange med mere en paniktærsklen, hvis dets urdisciplin ikke havde tilstrækkelig tid til at nå synkroniseringstilstanden og forblive der under mindst en opdatering. Hvis en manden i midten-angriber kunne kontrollere NTP-trafikken siden ntpd havde været startet (eller måske op til 20-30 minutter derefter), kunne vedkommende forhindre klienten i at opnå synkroniseringstilstanden og tvinge den til at stille uret med en vilkårlig værdi et antal gange, hvilket kunne anvendes af angribere til at få certifikater til at udløbe, osv.

    Det er i modstrid med hvad dokumentationen siger. Normalt er forudsætningen, at en MITM-angriber kun kan stille uret mere end paniktærsklen en gang, når ntpd starter, og for at foretage en større ændring, skal angriberen opdele det i flere mindre indstillinger, hver på 15 minutter, hvilket er langsomt.

  • CVE-2015-7691, CVE-2015-7692, CVE-2015-7702

    Man opdagede at rettelsen af CVE-2014-9750 var ufuldstændig: tre problemer blev fundet i kontrollen af værdilængderne i ntp_crypto.c, hvor en pakke med særlig autokey-handlinger, som indeholdt ondsindede data, ikke altid blev valideret fuldstændigt. Modtagelse af sådanne pakker, kunne få ntpd til at gå ned.

  • CVE-2015-7701

    En hukommelseslækagefejl blev fundet i ntpd's CRYPTO_ASSOC. Hvis ntpd er opsat til at anvende autokey-autentifikation, kunne en angriber sende pakker ntpd, som efter flere dage med igangværende angreb, kunne medføre at den løb tør for hukommelse.

  • CVE-2015-7703

    Miroslav Lichvar fra Red Hat opdagede at kommandoen :config kunne anvendes til at opsætte pidfile- og driftfile-stierne uden begrænsinger. En fjernangriber kunne udnytte fejlen til at overskrive en fil på filsystemet med en fil indeholdende pid'en hørende til ntpd-processen (med det samme) eller systemurets aktuelle, anslåede unøjagtighedsværdi (i timeintervaller). Eksempelvis:

    ntpq -c ':config pidfile /tmp/ntp.pid' ntpq -c ':config driftfile /tmp/ntp.drift'

    I Debian er ntpd opsat til at smide root-rettighederne væk, hvilket begrænsninger dette problems indvirkning.

  • CVE-2015-7704

    Hvis ntpd som en NTP-klient modtager en Kiss-of-Death-pakke (KoD, dødskys) fra serveren til at nedsætte sin forespørgselshastighed, kontrollede den ikke hvorvidt oprindelsestidsstemplingen svarede til den overførselstidsstemplingen fra dens forespørgsel. En off-path-angriber kunne sende en fabrikeret KoD-pakke til klienten, hvilket forøgede klientens forespørgselsinterval til en høj værdi og dermed deaktiverede synkroniseringen med serveren.

  • CVE-2015-7850

    Der var en udnytbar lammelsesangrebssårbarhed i funktionaliteten til fjernopsætning i Network Time Protocol. En særligt fremstillet opsætningsfil kunne medføre et lammelsesangreb. En angriber kunne levere en ondsindet opsætningsfil til at udløse sårbarheden.

  • CVE-2015-7852

    En potentiel forskudt med en-sårbarhed fandtes i funktionaliteten cookedprint i ntpq. En særligt fremstillet buffer kunne udløse et bufferoverløb, potentielt medførende at null-byte blev skrevet ud over grænserne.

  • CVE-2015-7855

    Man opdagede at NTP's decodenetnum() afsluttede med en assertionfejl, når der blev behandlet en tilstand 6- eller tilstand 7-pakke indeholdende en usædvanligt stor værdi, hvor en netværksadresse blev forventet. Dermed kunne en autentificeret angriber få ntpd til at gå ned.

  • CVE-2015-7871

    En logisk fejl i fejlhåndteringen blev fundet i ntpd, hvilket vise sig på grund af ukorrekt fejlhåndtering i forbindelse med visse crypto-NAK-pakker. En uautentificeret off-path-angriber kunne tvinge ntpd-processer på udvalgte servere til at peer'e med tidskilder valgt af angriberen, ved at overføre symmetrisk aktive crypto-NAK-pakker til ntpd. Angribet omgik autentifikatioenen, typisk gørende det muligt at ændre systemtiden.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1:4.2.6.p5+dfsg-2+deb7u6.

I den stabile distribution (jessie), er disse problemer rettet i version 1:4.2.6.p5+dfsg-7+deb8u1.

I distributionen testing (stretch), er disse problemer rettet i version 1:4.2.8p4+dfsg-3.

I den ustabile distribution (sid), er disse problemer rettet i version 1:4.2.8p4+dfsg-3.

Vi anbefaler at du opgraderer dine ntp-pakker.