Debian DSA-3388-1：ntp - 安全性更新

critical Nessus Plugin ID 86682

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

在網路時間通訊協定程序和公用程式中發現數個弱點：

- CVE-2015-5146 在 ntpd 處理特定遠端組態封包的方式中發現一個瑕疵。若發生以下情形，攻擊者可利用特製的封包造成 ntpd 損毀：

- 已啟用 ntpd 的遠端組態
- 攻擊者知道組態密碼

- 攻擊者擁有受委託執行遠端組態的電腦之存取權

請注意，NTP 預設為停用遠端組態。

- CVE-2015-5194 據發現，ntpd 在處理異常 logconfig 組態命令時可能會因未初始化的變數而損毀。

- CVE-2015-5195 據發現，當未啟用的統計資料類型在編譯時 (如 timingstats) 受到統計資料或 filegen 組態命令參照時，ntpd 會因分割錯誤而結束。

- CVE-2015-5219 據發現，當接收特製 NTP 封包時，sntp 程式會在無限迴圈中懸置，這與將封包的精確度值轉換為雙倍有關。

- CVE-2015-5300 據發現，ntpd 並未正確實作
-g 選項：

一般而言，如果位移超過錯誤閾值 (預設為 1000)，則 ntpd 會結束並傳送訊息至系統記錄。此選項允許將時間設為任何值，不受限制；但是這個操作只能執行一次。如果在那之後超過閾值，則 ntpd 會結束並傳送訊息至系統記錄。此選項可搭配 -q 和 -x 選項一起使用。

如果 nfpd 的時鐘規定沒有足夠時間可達到同步狀態並停留在該狀態至少一個更新的時間，則 ntpd 實際上會以超過錯誤閾值的次數步進時鐘多次。如果攔截式攻擊者可以因為 ntpd 已開始 (或可能在那之後最多 15-30 分鐘) 而控制 NTP 流量，則可以阻止用戶端達到同步狀態，並強制它以任意次數步進其時鐘任意量，這可被攻擊者用來使憑證過期，或進行其他行為。

這與文件所述相反。ntpd 啟動時，通常假設 MITM 攻擊者只能將時鐘劃分區間超出錯誤閾值一次，而若要進行更大幅度的調整，攻擊者必須劃分為多個較小的區間，各占 15 分鐘 (相當緩慢)。

- CVE-2015-7691、CVE-2015-7692、CVE-2015-7702 據發現，CVE-2014-9750 的修正並不完整：在 ntp_crypto.c 的值長度檢查中發現三個問題，具有特定自動金鑰作業且包含惡意資料的封包並非每一次都經過完整驗證。接收這些封包可能導致 ntpd 損毀。

- CVE-2015-7701 在 ntpd 的 CRYPTO_ASSOC 中發現一個記憶體洩漏瑕疵。如果 ntpd 設為使用自動金鑰驗證，攻擊者即可傳送封包至 ntpd，並且連續數天發動攻擊，從而導致其記憶體不足。

- CVE-2015-7703 Red Hat 的 Miroslav Lichvar 發現，:config 命令可用於設定 pidfile 和 driftfile 路徑，而無任何限制。遠端攻擊者可利用此瑕疵，將檔案系統上的檔案覆寫為含有 ntpd 處理程序 pid 的檔案 (立即)，或是系統時鐘目前的預估偏離 (以小時為間隔)。例如：

ntpq -c ':config pidfile /tmp/ntp.pid'ntpq -c ':config driftfile /tmp/ntp.drift'

在 Debian 中，ntpd 被設定為放置 root 權限，這可限制此問題的影響。

- CVE-2015-7704 如果作為 NTP 用戶端的 ntpd 從伺服器接收 Kiss-of-Death (KoD) 封包以降低其輪詢率，則它不會檢查回覆中的原始時間戳記是否符合其要求的傳輸時間戳記。路徑外攻擊者可傳送特製的 KoD 封包給用戶端，該封包會將用戶端的輪詢間隔提高至極大值，並有效停用與伺服器同步的功能。

- CVE-2015-7850 在網路時間通訊協定的遠端組態功能中，存在一個可被惡意利用的拒絕服務弱點。特製的組態檔可造成無限迴圈，進而導致拒絕服務。攻擊者可能提供惡意組態檔案，以觸發此弱點。

- CVE-2015-7852 ntpq 的 cookedprint 功能中可能存有一個差一弱點。利用特製的緩衝區可造成緩衝區溢位，進而導致將 NULL 位元組寫入超出邊界。

- CVE-2015-7855 據發現，在處理含有異常的長資料值且其中應該有網路位址的模式 6 或模式 7 封包時，NTP 的 decodenetnum() 會因宣告失敗而中止。這可允許經驗證的攻擊者造成 ntpd 損毀。

- CVE-2015-7871 在 ntpd 中存在一個處理邏輯錯誤的錯誤，此錯誤的出現，是因為與特定 crypto-NAK 封包相關的不當錯誤條件處理所導致。未經驗證的路徑外攻擊者可傳輸對稱式作用中 crypto-NAK 封包到 ntpd，強制目標伺服器上的 ntpd 處理程序與攻擊者選擇的時間來源配對。此攻擊可繞過成立對等節點關聯時通常必要的驗證，並允許攻擊者對系統時間進行任意變更。