公開日:2017/03/27 最終更新日:2019/11/27

JVNVU#95549222
NTP.org の ntpd に複数の脆弱性

概要

NTP.org が提供する Network Time Protocol daemon (ntpd) には複数の脆弱性が存在します。

影響を受けるシステム

  • ntp-4.2.8p10 より前のバージョン
  • ntp-4.3.0 から ntp-4.3.93 まで

詳細情報

NTP Project (NTP.org) が提供する Network Time Protocol daemon (ntpd) には次の複数の脆弱性が存在します。詳細は NTP project が提供する情報をご確認ください。

  • NTP Bug 3389 サービス運用妨害 (DoS) - CVE-2017-6464
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:H 基本値: 4.2
    CVSS v2 AV:N/AC:H/Au:M/C:N/I:N/A:C 基本値: 4.6
  • NTP Bug 3388 DPTS Clock におけるバッファオーバーフロー - CVE-2017-6462
    CVSS v3 CVSS:3.0/AV:P/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:L 基本値: 1.6
    CVSS v2 AV:L/AC:H/Au:S/C:N/I:N/A:P 基本値: 1.0
  • NTP Bug 3387 悪意のコンフィグオプションによるサービス運用妨害 (DoS) - CVE-2017-6463
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:H 基本値: 4.2
    CVSS v2 AV:N/AC:H/Au:M/C:N/I:N/A:C 基本値: 4.6
  • NTP Bug 3384 Windows PPSAPI DLL におけるコードインジェクション - CVE-2017-6455
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:H 基本値: 4.0
    CVSS v2 AV:L/AC:H/Au:S/C:N/I:N/A:C 基本値: 3.8
  • NTP Bug 3383 Windows 版インストーラにおけるスタックバッファオーバーフロー - CVE-2017-6452
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:L 基本値: 1.8
    CVSS v2 AV:L/AC:H/Au:S/C:N/I:N/A:P 基本値: 1.0
  • NTP Bug 3382 Windows 版インストーラにおけるデータ構造の誤設定 - CVE-2017-6459
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:L 基本値: 1.8
    CVSS v2 AV:L/AC:H/Au:S/C:N/I:N/A:P 基本値: 1.0
  • NTP Bug 3379 ctl_put() におけるバッファオーバーフロー - CVE-2017-6458
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:H 基本値: 4.2
    CVSS v2 AV:N/AC:H/Au:M/C:N/I:N/A:C 基本値: 4.6
  • NTP Bug 3378 mx4200_send() におけるメモリバッファの領域外書込み - CVE-2017-6451
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:N 基本値: 1.8
    CVSS v2 AV:L/AC:H/Au:M/C:N/I:N/A:P 基本値: 0.8
  • NTP Bug 3377 ntpq におけるバッファオーバーフロー - CVE-2017-6460
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:H 基本値: 4.2
    CVSS v2 AV:N/AC:H/Au:S/C:N/I:N/A:C 基本値: 4.9
  • NTP Bug 3361 開始タイムスタンプの処理に関するサービス運用妨害 (DoS) - CVE-2016-9042
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H 基本値: 4.4
    CVSS v2 AV:N/AC:H/Au:N/C:N/I:N/A:C 基本値: 4.9

想定される影響

遠隔の攻撃者によってサービス運用妨害 (DoS) 攻撃を受けるなどの可能性があります。

対策方法

アップデートする
本脆弱性を修正した ntp-4.2.8p10 がリリースされています。
NTP Project が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2017/12/21
ジェイティ エンジニアリング株式会社 該当製品無し 2017/04/03
ビー・ユー・ジーDMG森精機株式会社 該当製品無し 2017/03/27
日本電気株式会社 該当製品あり 2019/11/27
株式会社インターネットイニシアティブ 該当製品無し 2017/03/27
横河メータ&インスツルメンツ株式会社 該当製品無し 2017/03/27
ベンダ リンク
Network Time Protocol Project March 2017 ntp-4.2.8p10 NTP Security Vulnerability Announcement
Software Downloads -- Current versions of NTP

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2017/04/03
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2017/12/21
BizMobile株式会社のベンダステータスが更新されました
2019/11/27
日本電気株式会社のベンダステータスが更新されました