JVNVU#96605606
Network Time Protocol daemon (ntpd) に複数の脆弱性
Network Time Protocol (NTP) は、様々なサービスやアプリケーションで時刻を同期するために使用される通信プロトコルです。ntpd には複数の脆弱性が存在します。
- ntpd 4.2.8 およびそれ以前
- ntp-keygen 4.2.7p230 より前のバージョン
スプーフィングによる認証回避 (CWE-290) - CVE-2014-9298
ソースアドレスを IPv6 アドレス ::1 に偽装されると、ACL による制限を回避される可能性があります。
プログラムの異常状態や例外条件を適切に検査しない (CWE-754) - CVE-2014-9297
ntp_crypto.c において拡張フィールドの長さ (vallen) の値が正しく検証されていないため、情報漏えいやプログラムの異常終了が発生する可能性があります。
PRNG における不十分なエントロピー (CWE-332) - CVE-2014-9293
ntp.conf ファイルで auth key が設定されていない場合、暗号強度の不十分なデフォルト鍵が生成されます。
暗号における脆弱な PRNG の使用 (CWE-338) - CVE-2014-9294
4.2.7p230 より前のバージョンの ntp-keygen は、弱いシード値で暗号論的に不適切な乱数生成器を使い、対称鍵を生成します。
スタックバッファオーバーフロー (CWE-121) - CVE-2014-9295
ntpd の crypto_recv() (autokey 認証利用時)、ctl_putdata()、および configure() には、細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在します。
エラー条件、戻り値、状態コード (CWE-389) - CVE-2014-9296
ntpd において特定のエラー処理を行うコードに return 式が存在しない箇所が存在するため、エラー発生時に処理が停止しない問題があります。
本脆弱性の詳細については開発者が提供する情報を参照してください。
バッファオーバーフローの脆弱性により、ntpd の実行権限で任意のコードが実行される可能性があります。また、ntp-keygen における弱いデフォルト鍵および暗号論的に強度が不十分な乱数生成器の使用により、完全性の検証と認証付き暗号スキームに関する情報を取得される可能性があります。
アップデートする
これらの脆弱性は、NTP 4.2.8p1 で修正されています。
開発者が提供する情報をもとに、最新版へアップデートしてください。
ステータスクエリを制限する
[ntp:announce] ntp-4.2.8 is available において、次のように記載されています。
The vulnerabilities listed below can be significantly mitigated by following the BCP of puttingファイアーウォールのルールを設定する
restrict default ... noquery
in the ntp.conf file. With the exception of:
receive(): missing return on error
References: Sec 2670 / CVE-2014-9296 / VU#852879
below (which is a limited-risk vulnerability), none of the recent vulnerabilities listed below can be exploited if the source IP is restricted from sending a 'query'-class packet by your ntp.conf file.
外向きのネットワークインターフェースにおいて IPv6 アドレス
::1 をブロックしてください。autokey 認証を無効にするntp.conf ファイルにおいて、crypto から始まる設定をすべて削除もしくはコメントアウトし、autokey 認証を無効にしてください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| アライドテレシス株式会社 | 該当製品あり | 2015/07/14 | |
| ジェイティ エンジニアリング株式会社 | 該当製品無し | 2015/01/09 | |
| ミラクル・リナックス株式会社 | 該当製品あり | 2015/01/30 | |
| 日本電気株式会社 | 該当製品あり | 2020/12/22 | |
| 株式会社インターネットイニシアティブ | 該当製品あり | 2015/02/05 | 株式会社インターネットイニシアティブ の告知ページ |
| 株式会社バッファロー | 該当製品無し | 2015/02/16 | |
| 横河メータ&インスツルメンツ株式会社 | 該当製品無し | 2015/02/05 |
| ベンダ | リンク |
| Network Time Protocol project | Security Notice |
| Current versions of NTP | |
| The NTP FAQ and HOWTO: Understanding and using the Network Time Protocol |
-
CERT/CC Vulnerability Note VU#852879
NTP Project Network Time Protocol daemon (ntpd) contains multiple vulnerabilities (Updated) -
NCCIC/ICS-CERT Advisory (ICSA-14-353-01C)
Network Time Protocol Vulnerabilities (Update C)
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
分析結果のコメント
この CVSS の評価は CVE-2014-9295 に基づいて行ったものです。
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2014-9293 |
|
CVE-2014-9294 |
|
|
CVE-2014-9295 |
|
|
CVE-2014-9296 |
|
|
CVE-2014-9297 |
|
|
CVE-2014-9298 |
|
| JVN iPedia |
- 2014/12/22
- 詳細情報の誤植を修正しました。
- 2015/01/09
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2015/01/30
- ミラクル・リナックス株式会社のベンダステータスが更新されました
- 2015/01/30
- 影響を受けるシステム、詳細情報、対策方法を修正しました。
- 2015/02/05
- 影響を受けるシステム、詳細情報、参考情報、対策方法を更新しました。
- 2015/02/05
- 横河メータ&インスツルメンツ株式会社のベンダステータスが更新されました
- 2015/02/06
- 株式会社インターネットイニシアティブのベンダステータスが更新されました
- 2015/02/16
- 株式会社バッファローのベンダステータスが更新されました
- 2015/07/14
- アライドテレシス株式会社のベンダステータスが更新されました
- 2015/07/29
- 日本電気株式会社のベンダステータスが更新されました
- 2015/10/22
- 日本電気株式会社のベンダステータスが更新されました
- 2015/11/26
- 日本電気株式会社のベンダステータスが更新されました
- 2016/01/29
- 日本電気株式会社のベンダステータスが更新されました
- 2016/06/21
- 日本電気株式会社のベンダステータスが更新されました
- 2016/11/02
- 日本電気株式会社のベンダステータスが更新されました
- 2017/03/09
- 日本電気株式会社のベンダステータスが更新されました
- 2020/12/22
- 日本電気株式会社のベンダステータスが更新されました
