Debian DLA-335-1:ntp 安全性更新

critical Nessus Plugin ID 86640
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Debian 主機缺少一個安全性更新。

描述

在 ntp 中發現數個安全性問題:

CVE-2015-5146

在 ntpd 處理特定遠端組態封包的方式中發現一個瑕疵。若發生以下情形,攻擊者可利用特製的封包造成 ntpd 損毀:

- 已啟用 ntpd 的遠端組態

- 攻擊者知道組態密碼

- 攻擊者擁有受委託執行遠端組態的電腦之存取權

請注意,NTP 預設為停用遠端組態。

CVE-2015-5194

據發現,ntpd 在處理格式錯誤之 logconfig 組態命令時可能因未初始化的變數而損毀。

CVE-2015-5195

據發現,當未啟用的統計資料類型在編譯時 (如 timingstats)
受到統計資料或 filegen 組態命令參照時,ntpd 會因分割錯誤而結束

CVE-2015-5219

據發現,當接收特製 NTP 封包時,sntp 程式會在無限迴圈中懸置,這與將封包的精確度值轉換為雙倍有關。

CVE-2015-5300

據發現,ntpd 未正確實作 -g 選項:
一般而言,如果位移超過錯誤閾值 (預設為 1000),則 ntpd 會結束並傳送訊息至系統記錄。此選項允許將時間設為任何值,不受限制;但是這個操作只能執行一次。如果在那之後超過閾值,則 ntpd 會結束並傳送訊息至系統記錄。此選項可搭配 -q 和 -x 選項一起使用。如果 nfpd 的時鐘規定沒有足夠時間可達到同步狀態並停留在該狀態至少一個更新的時間,則 ntpd 實際上能以超過錯誤閾值的次數步進時鐘多次。如果攔截式攻擊者可以因為 ntpd 已開始 (或可能在那之後最多 15-30 分鐘) 而控制 NTP 流量,則可以阻止用戶端達到同步狀態,並強制它以任意次數步進其時鐘任意量,這可被攻擊者用來使憑證過期,或進行其他行為。
這與文件所述內容相反。ntpd 啟動時,通常假設 MITM 攻擊者只能將時鐘劃分區間超出錯誤閾值一次,而若要進行更大幅度的調整,攻擊者必須劃分為多個較小的區間,各占 15 分鐘 (相當緩慢)。

CVE-2015-7691、CVE-2015-7692、CVE-2015-7702

據發現,CVE-2014-9750 的修正並不完整:ntp_crypto.c 的值長度檢查中發現三個錯誤,具有特定自動金鑰作業且包含惡意資料的封包並非每一次都經過完整驗證。接收這些封包可能導致 ntpd 損毀。

CVE-2015-7701

在 ntpd 的 CRYPTO_ASSOC 中發現一個記憶體洩漏瑕疵。如果 ntpd 設為使用自動金鑰驗證,攻擊者即可傳送封包至 ntpd,並且連續數天發動攻擊,從而導致其記憶體不足。

CVE-2015-7703

Red Hat 的 Miroslav Lichvár 發現,:config 命令可被用來設定 pidfile 和 driftfile 路徑,而無任何限制。遠端攻擊者可利用此瑕疵,將檔案系統上的檔案覆寫為含有 ntpd 處理程序 pid 的檔案 (立即),或是系統時鐘目前的預估偏離 (以小時為間隔)。例如:ntpq -c ‘:config pidfile /tmp/ntp.pid’ ntpq -c ‘:config driftfile /tmp/ntp.drift’;在 Debian 中,ntpd 是設定為中斷 root 權限,這可限制此問題的影響。

CVE-2015-7704

如果作為 NTP 用戶端的 ntpd 從伺服器接收 Kiss-of-Death (KoD) 封包以降低其輪詢率,則它不會檢查回覆中的原始時間戳記是否符合其要求的傳輸時間戳記。路徑外攻擊者可傳送特製的 KoD 封包給用戶端,該封包會將用戶端的輪詢間隔提高至極大值,並有效停用與伺服器同步的功能。

CVE-2015-7850

在網路時間通訊協定的遠端組態功能中,存在一個可被惡意利用的拒絕服務弱點。特製的組態檔可造成無限迴圈,進而導致拒絕服務。攻擊者可能提供惡意組態檔案,以觸發此弱點。

CVE-2015-7851

VMS 上儲存 ntpd 的組態檔中可能存在一個路徑遊走弱點。特製的路徑可造成路徑遊走,進而導致檔案遭覆寫。攻擊者可能提供惡意的路徑,以觸發此弱點。

此問題不會影響 Debian。

CVE-2015-7852

ntpq 的 cookedprint 功能中可能存有一個差一弱點。利用特製的緩衝區可造成緩衝區溢位,進而導致將 NULL 位元組寫入超出邊界。

CVE-2015-7855

據發現,在處理含有異常的長資料值且其中應該有網路位址的模式 6 或模式 7 封包時,NTP 的 decodenetnum() 會因宣告失敗而中止。這可允許經驗證的攻擊者造成 ntpd 損毀。

CVE-2015-7871

在 ntpd 中存在一個處理邏輯錯誤的錯誤,此錯誤的出現,是因為與特定 crypto-NAK 封包相關的不當錯誤條件處理所導致。未經驗證的路徑外攻擊者可傳輸對稱式作用中 crypto-NAK 封包到 ntpd,藉此強制目標伺服器上的 ntpd 處理程序與攻擊者選擇的時間來源建立對等關係。此攻擊可繞過成立對等節點關聯時通常必要的驗證,並允許攻擊者對系統時間進行任意變更。

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的 ntp、ntp-doc 和 ntpdate 套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2015/10/msg00015.html

https://packages.debian.org/source/squeeze-lts/ntp

https://www.tenable.com/security/research/tra-2015-04

Plugin 詳細資訊

嚴重性: Critical

ID: 86640

檔案名稱: debian_DLA-335.nasl

版本: 2.19

類型: local

代理程式: unix

已發布: 2015/10/29

已更新: 2021/1/11

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.8

時間分數: 6.1

媒介: AV:N/AC:L/Au:N/C:N/I:N/A:C

時間媒介: E:POC/RL:OF/RC:C

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:ntp, p-cpe:/a:debian:debian_linux:ntp-doc, p-cpe:/a:debian:debian_linux:ntpdate, cpe:/o:debian:debian_linux:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2015/10/28

弱點發布日期: 2017/7/21

參考資訊

CVE: CVE-2015-5146, CVE-2015-5194, CVE-2015-5195, CVE-2015-5219, CVE-2015-5300, CVE-2015-7691, CVE-2015-7692, CVE-2015-7701, CVE-2015-7702, CVE-2015-7703, CVE-2015-7704, CVE-2015-7850, CVE-2015-7851, CVE-2015-7852, CVE-2015-7855, CVE-2015-7871

BID: 75589