开发者社区> 问答> 正文

安全漏洞预警公告(NTP重要安全包升级)


NTP爆出严重漏洞,目前有重要安全包升级, 详情如下,请大家关注~


一、漏洞发布日期

2014年12月20日

二、已确认被成功利用的软件及系统

4.2.8之前的所有版本


三、漏洞描述

网络时间协议(NTP)功能是用于依靠参考时间源同步计算机的时间。本次同时爆出CVE-2014-9293CVE-2014-9294CVE-2014-9295CVE-2014-9296等4个CVE漏洞。
(1)  其中CVE-2014-9293漏洞详情为:如果在配置文件ntp.conf中ntpdc没有指定申请认证密钥,NTPD会自动生成弱密钥。远程攻击者能够通过匹配这些限制的IP地址来猜解出生成的密钥,并有可能用它来发送ntpdc查询或配置请求。
(2)  其中CVE-2014-9294漏洞详情为: NTP密钥生成器,使用一种不安全的算法来生成md5值。这可能允许攻击者猜到生成的MD5密钥,然后用于欺骗NTP客户端或服务器。注:对于使用NTP-注册机生成的密钥,建议重新生成MD5密钥。默认安装不包含这些键值。
(3)其中CVE-2014-9295漏洞详情为:在NTPD的函数crypto_recv()、ctl_putdata()和configure()中存在多个缓冲区溢出漏洞。远程攻击者可以利用这些漏洞发送精心构造的数据包,导致NTPD崩溃,甚至使用NTP用户权限执行任意代码。注:crypto_recv()函数的漏洞利用,需要是在用的非默认配置,而ctl_putdata函数()的漏洞利用,在默认情况下,只能通过本地攻击者被利用。并且configure()函数的漏洞利用需要其他身份验证利用。
(4)其中CVE-2014-9296漏洞详情为:在receive()函数中缺少具体返回状态,从而使远程攻击者有绕过NTP认证机制的可能。


四、漏洞检测方法

1、检查有无直接对公网提供服务的ntp server,如果存在务必执行升级;
2、检查机房的公网ACL边界,是否存在123端口直接公网可访问情况,如果ntp client的123直接暴露在公网且ntp.conf中无ACL限制,则同样存在问题;
从公网检查ntp client是否存在问题的方法如下:
使用命令
ntpdate -q IP地址
1)如果返回如下所示 no server suitbale ..则不受影响。
2)如果返回如下所示 adjust time server ..则存在问题,ntp client同样需要升级。



五、建议修补方案

修复方案(任选)
1、从ntp官方下载最新版本http://www.ntp.org/downloads.html
2
、红帽用户可从RHN下载补丁https://rhn.redhat.com/errata/RHSA-2014-2024.html












展开
收起
少丰 2014-12-22 14:02:50 16896 0
1 条回答
写回答
取消 提交回答
  • 好,知道
    2014-12-23 09:42:48
    赞同 展开评论 打赏
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
等级保护合规安全解决方案 立即下载
代码未写,漏洞已出 立即下载
低代码开发师(初级)实战教程 立即下载