NTP4 távoli kódfuttatás sebezhetőség

 ( trey | 2014. december 20., szombat - 17:38 )

Stephen Roettger, a Google Security Team tagja számos biztonsági (buffer overflow) hibát talált az NTP4-ben. Közülük az egyik egy buffer overflow sebezhetőség a ctl_putdata() függvényben. A távoli támadó egy speciálisan összeállított csomaggal túlcsordíthatja a stack buffer-t és potenciálisan lehetősége nyílhat távoli kódfuttatásra az ntpd jogosultságával. Ez sebezhetőség a 4.2.8-as verzió előtti összes NTP4 verziót érinti. A 4.2.8-as verzió 2014. december 18-án látott napvilágot.

Theo de Raadt tegnap megjegyezte, hogy az OpenNTPd nem érintett.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

https://rhn.redhat.com/errata/RHSA-2014-2025.html

"Multiple buffer overflow flaws were discovered in ntpd's crypto_recv(),
ctl_putdata(), and configure() functions. A remote attacker could use
either of these flaws to send a specially crafted request packet that could
crash ntpd or, potentially, execute arbitrary code with the privileges of
the ntp user. Note: the crypto_recv() flaw requires non-default
configurations to be active, while the ctl_putdata() flaw, by default, can
only be exploited via local attackers, and the configure() flaw requires
additional authentication to exploit. (CVE-2014-9295)"

--
trey @ gépház

Lazán kapcsolódik:

Poul-Henning Kamp - FreeBSD és egyéb nyílt forrású szoftverek fejlesztője - a The Linux Foundation szponzorálásával elkezdte átnézni az ntp.org szoftverének (NTPD) forrását, de arra jutott, hogy sokkal egyszerűbb 0-ról újraírni a cuccot, mint a több mint 100 ezer programsorból álló meglevőből kiszórni a felesleges kódsorokat.

Az újraírás folyamatban van.

Theo de Raadt-nak volt néhány tanácsa, kérése PHK felé:

"I am glad to hear NTPD is being rewritten. Because over time this
will bring safety back back into focus. PHK, I hope you don't just
focus on the math. Privsep it, please, but ensure DNS refresh is
possible in the architecture you choose. There is a time-tested model
which does not require the OS to have this or that non-standard
security feature; we all know we can't mandate use of those features
which barely help anyways. You rely on privsep everytime you login to
another machine, so consider it."

--
trey @ gépház

Szóval van a hagyományos ntpd, van a chrony, van (vagy lesz?) a systemd-ben beépített ntp (csak kliens)... kihagytam valamit?... és most szerencsére lesz még egy! :P

meg van az openntpd is, nem véletlenül pörög theo a témán...

Workaroundról tud valaki kliensként használt ntpd esetén?

SELinux? ;)

A delikvens egy ESXi 4.1 :)

Most utánanézve úgy látom, hogy távolról nem használható ki, amennyiben csak kliensként használom.

Közben az apple is kijött a saját fixével: http://osxdaily.com/2014/12/22/ntp-critical-security-update-os-x/
(500 mega :p)

Akinek almára telik, diszkre és sávszélre is telik :-P (most viccet félretéve, mi az isten haragja 500 MB ezen a javításon?)

nájsz'
--
Dropbox:
Dropbox
Ubuntu One

Wat? A cikk szerint 1.4 MB a fix.