Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3388-1 ntp

Säkerhetsbulletin från Debian

DSA-3388-1 ntp -- säkerhetsuppdatering

Rapporterat den:

2015-11-01

Berörda paket:

ntp

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-9750, CVE-2014-9751, CVE-2015-3405, CVE-2015-5146, CVE-2015-5194, CVE-2015-5195, CVE-2015-5219, CVE-2015-5300, CVE-2015-7691, CVE-2015-7692, CVE-2015-7701, CVE-2015-7702, CVE-2015-7703, CVE-2015-7704, CVE-2015-7850, CVE-2015-7852, CVE-2015-7855, CVE-2015-7871.

Ytterligare information:

Flera sårbarheter har upptäckts i verktygen och demonen Network Time Protocol:

• CVE-2015-5146

  En brist har upptäckts i sättet som ntpd behandlade vissa fjärrkonfigurationspaket. En angripare kunde använda ett speciellt skapat paket för att orsaka ntpd att krascha om:

  • ntpd aktiverade fjärrkonfiguration
  • Angriparen har kunskap om konfigurationens lösenord
  • Angriparen har åtkomst till en dator med rättigheter att utföra fjärrkonfiguration

  Notera att fjärrkonfiguration är inaktiverat som standard i NTP.

• CVE-2015-5194

  Det har upptäckts att ntpd kunde krascha på grund av en icke initierad variabel vid behandling av felaktigt formaterade logconfig-konfigurationskommandon.

• CVE-2015-5195

  Det har upptäckts att ntpd avslutas med ett segmenteringsfel när en statistiktyp som inte aktiverats under kompilering (exempelvis timingstats) refereras av statistik- eller filgenereringskonfigurationskommandon.

• CVE-2015-5219

  Man har upptäckts att sntp-programmet kunde hängas i en oändlig loop när ett skapat NTP-paket mottogs, relaterat till konverteringen av precisionsvärdet till typen double.

• CVE-2015-5300

  Det har upptäckts att ntpd inte implementerar -g-alternativet korrekt:

  Normalt avslutas ntpd med ett meddelande till systemloggen om offsetten går över panikgränsen, som är 1000 sek som standard. Detta alternativ tillåter tiden att sättas till vilket värde som helst utan restriktioner; dock kan detta endast hända en gång. Om gränsen överskrids efter detta kommer ntpd att avslutas med ett meddelande till systemloggen. Detta alternativ kan användas med -q och -x-alternativen.

  ntpd kan stega klockan flera gånger mer än panikgränsen om dess klockdisciplin inte har mer tid att nå synken och stanna där än en uppdatering. Om en man-in-the-middle-angripare kan kontrollera NTP-trafiken sedan ntpd startades (eller kanske 15-30 minuter efter detta), kan de förhindra klienten från att nå synkläge och tvinga den att stega klockan ett antal gånger, vilket kan användas för att få certifikat att gå ut.

  Detta är tvärt emot vad dokumentationen säger. Normalt gäller antagandet att en MITM-angripare kan sega klockan mer än panikgränsen endast när ntpd startar och för att göra en större förändring måste angriparen dela upp förändringen i flera små steg, varje på 15 minuter, vilket är sakta.

• CVE-2015-7691, CVE-2015-7692, CVE-2015-7702

  Det har upptäckts att rättelsen för CVE-2014-9750 var inkomplett: tre problem har upptäckts i värdelängdskontrollen i ntp_crypto.c, där ett paket med en specifik autokey-operation som innehöll illasinnad data inte alltid validerades korrekt. Mottagande av sådana paket kunde få ntpd att krascha.

• CVE-2015-7701

  Ett minnesläckage har upptäckts i ntpd's CRYPTO_ASSOC. Om ntpd är konfigurerat att använda autokey-autentisering kunde en angripare skicka paket till ntpd som kunde, efter flera dagars pågående angrepp, orsaka den att få slut på minne.

• CVE-2015-7703

  Miroslav Lichvar från Red Hat upptäckte att :config-kommandot kan användas för att sätta pidfile och driftfile-sökvägarna utan några restriktioner. En fjärrangripare kunde utnyttja denna brist för att skriva över en fil på filsystemet med en fil som innehåller samma pid som ntpd-processen (direkt) eller den nuvarande antagna förskjutningen av systemklockan (i timintervall). Exempelvis:

  ntpq -c ':config pidfile /tmp/ntp.pid' ntpq -c ':config driftfile /tmp/ntp.drift'

  I Debian är ntpd konfigurerad att släppa root-rättigheter, vilket begränsar effekterna av detta problem.

• CVE-2015-7704

  Om ntpd som en NTP-klient mottar ett Kiss-of-Death (KoD)-paket från servern för att minska sin polling-rate, kontrollerar den inte om ursprungsstidsstämpeln i svaret matchar sändtidsstämpeln i dess förfrågan. En off-path-angripare kan skicka ett skapat KoD-paket till klienten, som kommer att öka klientens pollintervall till ett stort värde och effektivt inaktivera synkronisering med servern.

• CVE-2015-7850

  En exploaterbar överbelastningssårbarhet existerar i fjärrkonfigurationsfunktionaliteten i Network Time Protocol. En speciellt skapad konfigurationsfil kan orsaka en oändlig loop vilket resulterar i överbelastning. En angripare kunde tillhandahålla en illasinnad konfigurationsfil för att trigga denna sårbarhet.

• CVE-2015-7852

  En potentiell fel-med-ett-sårbarhet existerar i cookedprint-funktionaliteten i ntpq. En speciellt skapad buffer kunde orsaka ett buffertspill vilket kunde resultera i att en nullbyte skrevs utanför begränsningarna.

• CVE-2015-7855

  Det har upptäckts att NTP's decodenetnum() kunde avslutas med ett antagandefel vid behandling av ett mode 6 eller mode 7 paket som innehåller ett ovanligt långt datavärde där en nätverksadress väntades. Detta kunde tillåta en autentiserad angripare att krascha ntpd.

• CVE-2015-7871

  Ett felhanteringslogikfel exiterar i ntpd som manifesterar sig på grund felaktig hantering av felläge associerat med vissa crypto-NAK-paket. En icke autentiserad off-path-angripare kan tvinga ntpd-processer på målservrar att peera med tidskällor från angriparens val genom att skicka symmetriska aktiva crypto-NAK-paket till ntpd. Detta angrepp förbigår autentiseringen som vanligen krävs för att upprätthålla en peer-association och tillåter en angripare att göra godtyckliga förändringar i systemtid.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1:4.2.6.p5+dfsg-2+deb7u6.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:4.2.6.p5+dfsg-7+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 1:4.2.8p4+dfsg-3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1:4.2.8p4+dfsg-3.

Vi rekommenderar att ni uppgraderar era ntp-paket.