【漏洞公告】NTP DoS高危漏洞及多处其他漏洞

2016.11.21日，NTF’s Network Time Protocol (NTP) 项目发布了 ntp-4.2.8p9 ,这是 ntp-4.2.8p8 发布以来的第一次更新。此次更新发布了10个漏洞，其中1个高危，具体信息如下：

• 1 个高危漏洞，仅影响Windows
• 2 MEDIUM severity vulnerabilities
• 2 MEDIUM/LOW severity vulnerabilities
• 5 LOW severity vulnerabilities

在新版本ntp-4.2.8p9中修复了NTP的多个漏洞，其中部分漏洞可以造成远程拒绝服务，漏洞详情如下：

漏洞编号：CVE-2016-9311、CVE-2016-9310、CVE-2016-7427、CVE-2016-7428、CVE-2016-9312、CVE-2016-7431、CVE-2016-7434、CVE-2016-7429、CVE-2016-7426、CVE-2016-7433


漏洞描述：
CVE-2016-9311   中危
ntpd默认不启用trap，然而当trap被启用的时候，攻击者可以发送一个精心构造的数据包造成空指针解引用，从而导致ntpd拒绝服务。
CVE-2016-9310   中危
一个可利用的配置修改漏洞存在于ntpd的控制模式功能中，攻击者可以通过发送精心构造的控制模式数据包造成信息泄露和拒绝服务攻击。
CVE-2016-7427   中低危
如果攻击者可以访问NTP广播域，那么他可以周期性地向广播域中发送精心构造的数据包，从而迫使nptd从合法的NTP广播服务器发来的广播模式数据包。
CVE-2016-7428   中低危
ntpd的广播模式轮询间隔执行功能中存在一个可利用的拒绝服务攻击。一个可以接触NTP广播域的攻击者可以向NTP广播域中发送精心构造的数据包从而迫使ntpd丢弃从合法NTP广播服务
发来的广播模式数据包。
CVE-2016-9312   高危
Windows上的ntpd在接收过大的UDP数据包时会停止工作，导致拒绝服务。
CVE-2016-7431   中危
ntp-4.2.8p6修复了编号为NTP Bug 2945的零值原始时间戳的bug，然而却引入了对零值原始时间戳检验不当的问题。
CVE-2016-7434   低危
如果ntpd被配置为接收mrulist查询请求，攻击者则可以发送一个精心构造的mrulist查询请求包，导致ntpd崩溃，造成拒绝服务。
CVE-2016-7429   低危
如果ntpd运行于在不同网络使用多重接口的主机上，且操作系统对收到的数据包并不检查来源地址的情况下，攻击者可以伪造数据包的源地址，导致ntpd无法和正确数据源同步。
CVE-2016-7426   低危
在ntpd启用速率限定的情况下，攻击者可以周期性地发送带有伪造源地址的数据包，阻止ntpd接收有效的nptd响应包。
CVE-2016-7433   低危
先前对编号为NTP Bug 2085的bug修复不正确，相关计算有误。Bug 2085引起的问题是时基误差高于所期望的值。


漏洞危害：
黑客通过利用漏洞可以实现NTP服务退出，影响业务正常运行。


漏洞利用条件：
CVE-2016-9312 高危漏洞 在Windows环境下， 远程利用。


漏洞影响范围：
漏洞编号                     受影响版本                                                                                               不受影响版本
CVE-2016-9311          ntp-4.0.90 <= nptd version < ntp-4.2.8p9                                                 ntp-4.2.8p9；ntp-4.3.94； ntp-4.3.0 <= ntpd version < ntp-4.3.94    
CVE-2016-9310         ntp-4.0.90 <= nptd version < ntp-4.2.8p9                                                  ntp-4.2.8p9；ntp-4.3.94； ntp-4.3.0 <= ntpd version < ntp-4.3.94
CVE-2016-7427         ntp-4.2.8p6 <= nptd version < ntp-4.2.8p9                                                ntp-4.2.8p9；ntp-4.3.94； ntp-4.3.0 <= ntpd version < ntp-4.3.94
CVE-2016-7428         ntp-4.2.8p6 <= nptd version < ntp-4.2.8p9                                                ntp-4.2.8p9；ntp-4.3.94； ntp-4.3.0 <= ntpd version < ntp-4.3.94
CVE-2016-9312         nptd version < ntp-4.2.8p9                                                                        ntp-4.2.8p9；ntp-4.3.94； ntp-4.3.0 <= ntpd version < ntp-4.3.94
CVE-2016-7431         ntp-4.2.8p8；ntp-4.3.93                                                                            ntp-4.2.8p9；ntp-4.3.94
CVE-2016-7434         ntp-4.2.7p22 <= nptd version < ntp-4.2.8p9                                              ntp-4.2.8p9；ntp-4.3.94； ntp-4.3.0 <= ntpd version < ntp-4.3.94
CVE-2016-7429         ntp-4.2.7p385 <= nptd version < ntp-4.2.8p9                                            ntp-4.2.8p9；ntp-4.3.94； ntp-4.3.0 <= ntpd version < ntp-4.3.94
CVE-2016-7426         ntp-4.2.5p203 <= nptd version < ntp-4.2.8p9                                            ntp-4.2.8p9；ntp-4.3.94； ntp-4.3.0 <= ntpd version < ntp-4.3.94
CVE-2016-7433         ntp-4.2.7p385 <= nptd version < ntp-4.2.8p9                                            ntp-4.2.8p9；ntp-4.3.94； ntp-4.3.0 <= ntpd version < ntp-4.3.94


漏洞测试方案：
1.您可以人工检查是否开启了NTP 123端口服务，并发布到互联网上
2.检查ntp版本：ntpq -c version
注：不推荐使用POC测试方式


漏洞修复建议(或缓解措施)：
官方已经发布了版本更新，建议用户升级到最新版本，下载链接如下：
http://support.ntp.org/bin/view/Main/SoftwareDownloads


参考信息：
[1].http://toutiao.secjia.com/ntp-multiple-denial-of-service-vulnerabilities-cve-2016-9311#
[2].https://www.kb.cert.org/vuls/id/633847
[3].http://bugs.ntp.org/show_bug.cgi?id=3082