安全漏洞预警公告（NTP重要安全包升级）

NTP爆出严重漏洞，目前有重要安全包升级, 详情如下，请大家关注~


一、漏洞发布日期

2014年12月20日

二、已确认被成功利用的软件及系统

4.2.8之前的所有版本


三、漏洞描述

网络时间协议（NTP）功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4个CVE漏洞。
（1）  其中CVE-2014-9293漏洞详情为：如果在配置文件ntp.conf中ntpdc没有指定申请认证密钥，NTPD会自动生成弱密钥。远程攻击者能够通过匹配这些限制的IP地址来猜解出生成的密钥，并有可能用它来发送ntpdc查询或配置请求。
（2）  其中CVE-2014-9294漏洞详情为： NTP密钥生成器，使用一种不安全的算法来生成md5值。这可能允许攻击者猜到生成的MD5密钥，然后用于欺骗NTP客户端或服务器。注：对于使用NTP-注册机生成的密钥，建议重新生成MD5密钥。默认安装不包含这些键值。
（3）其中CVE-2014-9295漏洞详情为：在NTPD的函数crypto_recv()、ctl_putdata()和configure()中存在多个缓冲区溢出漏洞。远程攻击者可以利用这些漏洞发送精心构造的数据包，导致NTPD崩溃，甚至使用NTP用户权限执行任意代码。注：crypto_recv（）函数的漏洞利用，需要是在用的非默认配置，而ctl_putdata函数（）的漏洞利用，在默认情况下，只能通过本地攻击者被利用。并且configure()函数的漏洞利用需要其他身份验证利用。
（4）其中CVE-2014-9296漏洞详情为：在receive()函数中缺少具体返回状态，从而使远程攻击者有绕过NTP认证机制的可能。


四、漏洞检测方法

1、检查有无直接对公网提供服务的ntp server，如果存在务必执行升级；
2、检查机房的公网ACL边界，是否存在123端口直接公网可访问情况，如果ntp client的123直接暴露在公网且ntp.conf中无ACL限制，则同样存在问题；
从公网检查ntp client是否存在问题的方法如下：
使用命令
ntpdate -q IP地址
1）如果返回如下所示 no server suitbale ..则不受影响。
2）如果返回如下所示 adjust time server ..则存在问题，ntp client同样需要升级。


五、建议修补方案

修复方案（任选）
1、从ntp官方下载最新版本http://www.ntp.org/downloads.html
2、红帽用户可从RHN下载补丁https://rhn.redhat.com/errata/RHSA-2014-2024.html