2014年12月18日にNTP ProjectはNTPDに複数の脆弱性が確認され、その修正プログラムを公開したことを発表しました。ここでは任意のコードが実行可能とされるCVE-2014-9295を中心に関連情報についてまとめます。
脆弱関連情報
| CVE |
影響 |
概要 |
CVSS(Base) |
| CVE-2014-9293 |
認証強度の低下 |
設定ファイルがデフォルトの場合、弱いキーを作成する。 |
7.3 |
| CVE-2014-9294 |
認証強度の低下 |
NTP-Keygenは弱いシードを使ってランダムなキーを作成。 |
7.3 |
| CVE-2014-9295 |
任意のコード実行 |
NTPDの複数のfunctionでBuffer Overflowの脆弱性 |
7.5 |
| CVE-2014-9296 |
エラー処理の問題 |
特定のエラー発生時に処理が停止しない問題 |
5.0 |
CVE-2014-9295概要
NTPDの3つのfunctionにバッファオーバーフローの脆弱性。攻撃者が特別に細工したリクエストをNTPDサーバーに送信することで、NTPDをクラッシュさせたり、NTPDが動作する権限で任意のコードが実行可能になる可能性がある。
- SANSは一部の脆弱性をつく攻撃に関していくつかの噂があると報告。*1
タイムライン
| 日時 |
出来事 |
| 2014年12月18日 |
NTPDの修正版が公開 |
| 2014年12月19日 |
US-CERTが脆弱性情報を公開。 |
発見者
- Google Security Team
- Stephen Roettger
- Neel Mehta
影響範囲
CVE-2014-9295 攻撃成立前提条件と具体的な影響
| 脆弱性が確認されたfunction |
具体的な影響 |
既定設定での影響有無 |
攻撃成立前提条件 |
| crypto_recv()のBuffer overflow |
任意のコード実行 |
影響なし |
Autokey Authentiation有効時 |
| ctl_putdata()のBuffer overflow |
任意のコード実行 |
影響あり |
ローカルからの攻撃に限定される |
| config()のBuffer overflow |
サービス停止 |
不明 |
追加での認証が要求される |
対策
回避策
| CVE-2014-9295 |
Autokey Authenticaionの無効化 |
信頼できない送信元のnoquery指定 |
| cyrpto_recv()のBuffer overflow |
有効 |
有効 |
| ctl_putdata()のBuffer overflow |
− |
有効 |
| config()のBuffer overflow |
− |
有効 |
- noquery: NTPの実装に依存する時刻問い合わせを無視。
