公開日:2016/06/03 最終更新日:2017/03/09

JVNVU#94410990
NTP.org の ntpd にサービス運用妨害 (DoS) など複数の脆弱性

概要

NTP.org が提供する Network Time Protocol daemon (ntpd) には複数の脆弱性が存在します。

影響を受けるシステム

  • ntp-4.2.8p8 より前のバージョンの ntp-4 系
  • ntp-4.3.93 より前のバージョンの ntp-4.3 系

詳細情報

NTP Project (NTP.org) が提供する Network Time Protocol daemon (ntpd) には複数の脆弱性が存在します。それぞれの概要は次の通りですが、詳細は NTP Project が提供する情報をご確認ください。

  • NTP Bug 3046 CRYPTO_NAK におけるサービス運用妨害 (DoS) - CVE-2016-4957
    NTP Bug 3007 (JVNVU#91176422) に対する追加修正です。
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
    CVSS v2 AV:N/AC:L/Au:N/C:N/I:N/A:C 基本値: 7.8
  • NTP Bug 3045 不正な認証処理による時刻同期の無効化 - CVE-2016-4953
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値: 3.7
    CVSS v2 AV:N/AC:H/Au:N/C:N/I:N/A:P 基本値: 2.6
  • NTP Bug 3044 不正なサーバパケットの処理 - CVE-2016-4954
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値: 3.7
    CVSS v2 AV:N/AC:H/Au:N/C:N/I:N/A:P 基本値: 2.6
  • NTP Bug 3043 不正なパケットによる autokey 認証に基づく時刻同期の無効化 - CVE-2016-4955
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値: 3.7
    CVSS v2 AV:N/AC:H/Au:N/C:N/I:N/A:P 基本値: 2.6
  • NTP Bug 3042 broadcast クライアントに対するインターリーブモードの強制 - CVE-2016-4956
    NTP Bug 2978 (JVNVU#91176422) に対する追加修正です。
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値: 3.7
    CVSS v2 AV:N/AC:H/Au:N/C:N/I:N/A:P 基本値: 2.6

想定される影響

遠隔の第三者により細工されたパケットを処理することで、サービス運用妨害 (DoS) 状態にされる可能性があります。

対策方法

アップデートする
本脆弱性を修正した ntp-4.2.8p8 および ntp-4.3.93 がリリースされています。
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2016/06/03
ビー・ユー・ジーDMG森精機株式会社 該当製品無し 2016/06/06
富士通株式会社 該当製品あり(調査中) 2016/07/21
日本電気株式会社 該当製品あり 2017/03/09
株式会社インターネットイニシアティブ 該当製品無し 2016/06/03
横河メータ&インスツルメンツ株式会社 該当製品無し 2016/06/03

参考情報

  1. CERT/CC Vulnerability Note VU#321640
    NTP.org ntpd is vulnerable to denial of service and other vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-4957
CVE-2016-4953
CVE-2016-4954
CVE-2016-4955
CVE-2016-4956
JVN iPedia

更新履歴

2016/06/06
ビー・ユー・ジーDMG森精機株式会社のベンダステータスが更新されました
2016/06/07
詳細情報の脱字を修正しました
2016/07/21
富士通株式会社のベンダステータスが更新されました
2017/03/09
日本電気株式会社のベンダステータスが更新されました