Säkerhetsbulletin från Debian

DSA-3388-1 ntp -- säkerhetsuppdatering

Rapporterat den:
2015-11-01
Berörda paket:
ntp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-9750, CVE-2014-9751, CVE-2015-3405, CVE-2015-5146, CVE-2015-5194, CVE-2015-5195, CVE-2015-5219, CVE-2015-5300, CVE-2015-7691, CVE-2015-7692, CVE-2015-7701, CVE-2015-7702, CVE-2015-7703, CVE-2015-7704, CVE-2015-7850, CVE-2015-7852, CVE-2015-7855, CVE-2015-7871.
Ytterligare information:

Flera sårbarheter har upptäckts i verktygen och demonen Network Time Protocol:

  • CVE-2015-5146

    En brist har upptäckts i sättet som ntpd behandlade vissa fjärrkonfigurationspaket. En angripare kunde använda ett speciellt skapat paket för att orsaka ntpd att krascha om:

    • ntpd aktiverade fjärrkonfiguration
    • Angriparen har kunskap om konfigurationens lösenord
    • Angriparen har åtkomst till en dator med rättigheter att utföra fjärrkonfiguration

    Notera att fjärrkonfiguration är inaktiverat som standard i NTP.

  • CVE-2015-5194

    Det har upptäckts att ntpd kunde krascha på grund av en icke initierad variabel vid behandling av felaktigt formaterade logconfig-konfigurationskommandon.

  • CVE-2015-5195

    Det har upptäckts att ntpd avslutas med ett segmenteringsfel när en statistiktyp som inte aktiverats under kompilering (exempelvis timingstats) refereras av statistik- eller filgenereringskonfigurationskommandon.

  • CVE-2015-5219

    Man har upptäckts att sntp-programmet kunde hängas i en oändlig loop när ett skapat NTP-paket mottogs, relaterat till konverteringen av precisionsvärdet till typen double.

  • CVE-2015-5300

    Det har upptäckts att ntpd inte implementerar -g-alternativet korrekt:

    Normalt avslutas ntpd med ett meddelande till systemloggen om offsetten går över panikgränsen, som är 1000 sek som standard. Detta alternativ tillåter tiden att sättas till vilket värde som helst utan restriktioner; dock kan detta endast hända en gång. Om gränsen överskrids efter detta kommer ntpd att avslutas med ett meddelande till systemloggen. Detta alternativ kan användas med -q och -x-alternativen.

    ntpd kan stega klockan flera gånger mer än panikgränsen om dess klockdisciplin inte har mer tid att nå synken och stanna där än en uppdatering. Om en man-in-the-middle-angripare kan kontrollera NTP-trafiken sedan ntpd startades (eller kanske 15-30 minuter efter detta), kan dom förhindra klienten från att nå synkläge och tvinga den att stega klockan ett antal gånger, vilket kan användas för att få certifikat att gå ut.

    Detta är tvärt emot vad dokumentationen säger. Normalt gäller antagandet att en MITM-angripare kan sega klockan mer än panikgränsen endast när ntpd startar och för att göra en större förändring måste angriparen dela upp förändringen i flera små steg, varje på 15 minuter, vilket är sakta.

  • CVE-2015-7691, CVE-2015-7692, CVE-2015-7702

    Det har upptäckts att rättelsen för CVE-2014-9750 var inkomplett: tre problem har upptäckts i värdelängdskontrollen i ntp_crypto.c, där ett paket med en specifik autokey-operation som innehöll illasinnad data inte alltid validerades korrekt. Mottagande av sådana paket kunde få ntpd att krascha.

  • CVE-2015-7701

    Ett minnesläckage har upptäckts i ntpd's CRYPTO_ASSOC. Om ntpd är konfigurerat att använda autokey-autentisering kunde en angripare skicka paket till ntpd som kunde, efter flera dagars pågående angrepp, orsaka den att få slut på minne.

  • CVE-2015-7703

    Miroslav Lichvar från Red Hat upptäckte att :config-kommandot kan användas för att sätta pidfile och driftfile-sökvägarna utan några restriktioner. En fjärrangripare kunde utnyttja denna brist för att skriva över en fil på filsystemet med en fil som innehåller samma pid som ntpd-processen (direkt) eller den nuvarande antagna förskjutningen av systemklockan (i timintervall). Exempelvis:

    ntpq -c ':config pidfile /tmp/ntp.pid' ntpq -c ':config driftfile /tmp/ntp.drift'

    I Debian är ntpd konfigurerad att släppa root-rättigheter, vilket begränsar effekterna av detta problem.

  • CVE-2015-7704

    Om ntpd som en NTP-klient mottar ett Kiss-of-Death (KoD)-paket från servern för att minska sin polling-rate, kontrollerar den inte om ursprungsstidsstämpeln i svaret matchar sändtidsstämpeln i dess förfrågan. En off-path-angripare kan skicka ett skapat KoD-paket till klienten, som kommer att öka klientens pollintervall till ett stort värde och effektivt inaktivera synkronisering med servern.

  • CVE-2015-7850

    En exploaterbar överbelastningssårbarhet existerar i fjärrkonfigurationsfunktionaliteten i Network Time Protocol. En speciellt skapad konfigurationsfil kan orsaka en oändlig loop vilket resulterar i överbelastning. En angripare kunde tillhandahålla en illasinnad konfigurationsfil för att trigga denna sårbarhet.

  • CVE-2015-7852

    En potentiell fel-med-ett-sårbarhet existerar i cookedprint-funktionaliteten i ntpq. En speciellt skapad buffer kunde orsaka ett buffertspill vilket kunde resultera i att en nullbyte skrevs utanför begränsningarna.

  • CVE-2015-7855

    Det har upptäckts att NTP's decodenetnum() kunde avslutas med ett antagandefel vid behandling av ett mode 6 eller mode 7 paket som innehåller ett ovanligt långt datavärde där en nätverksadress väntades. Detta kunde tillåta en autentiserad angripare att krascha ntpd.

  • CVE-2015-7871

    Ett felhanteringslogikfel exiterar i ntpd som manifesterar sig på grund felaktig hantering av felläge associerat med vissa crypto-NAK-paket. En icke autentiserad off-path-angripare kan tvinga ntpd-processer på målservrar att peera med tidskällor från angriparens val genom att skicka symmetriska aktiva crypto-NAK-paket till ntpd. Detta angrepp förbigår autentiseringen som vanligen krävs för att upprätthålla en peer-association och tillåter en angripare att göra godtyckliga förändringar i systemtid.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1:4.2.6.p5+dfsg-2+deb7u6.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:4.2.6.p5+dfsg-7+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 1:4.2.8p4+dfsg-3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1:4.2.8p4+dfsg-3.

Vi rekommenderar att ni uppgraderar era ntp-paket.