Debian DLA-335-1:ntp 安全更新

critical Nessus 插件 ID 86640
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Debian 主机缺少安全更新。

描述

在 ntp 中发现了多个安全问题:

CVE-2015-5146

在 ntpd 处理某些远程配置数据包的方式中发现一个缺陷。如果出现以下情况,攻击者可利用特别构建的程序包造成 ntpd 崩溃:

- ntpd 启用了远程配置

- 攻击者知道配置密码

- 攻击者具有计算机信任的访问权限以执行远程配置

请注意,远程配置默认情况下在 NTP 中禁用。

CVE-2015-5194

已发现 ntpd 可能由于处理不规范 logconfig 配置命令时未初始化变量而崩溃。

CVE-2015-5195

已发现编译期间未启用的 statistics 类型(如 timingstats)被 statistics 或 filegen 配置命令引用时,ntpd 因分段错误而退出。

CVE-2015-5219

已发现 sntp 程序会在接收到构建的 NTP 数据包时在无限循环中挂起,与数据包中的精度值到双精度值的转换有关。

CVE-2015-5300

已发现 ntpd 未正确实现 -g 选项:
正常情况下,如果偏移超出错误阈值(默认为 1000 秒),ntpd 将退出,并将一条消息写入到系统日志。此选项允许将时间设置为任意值而不受限制;但此情况只能发生一次。如果此后超出阈值,ntpd 将退出并将一条消息写入到系统日志。此选项可以与 -q 和 -x 选项结合使用。如果 ntpd 的时钟规则没有足够时间来达到同步状态,因此停留在原处以获取至少一个更新,则 ntpd 实际可能多次步进时钟使其超出错误阈值。如果中间人攻击者可以控制 ntpd 启动以来的 NTP 流量(或者启动后最多 15-30 分钟的 NTP 流量),则可阻止客户端达到同步状态,并强制客户端对时钟执行任意次数任意量的步进,然后攻击者可以借此使证书过期,等等。这与文档的内容相反。通常情况下,假设 ntpd 启动时 MITM 攻击者可以步进时钟超出错误阈值仅一次,为进行更大的调整,攻击者必须将其分成多个较小的步进,每个需要 15 分钟,较为缓慢。

CVE-2015-7691、CVE-2015-7692、CVE-2015-7702

已发现针对 CVE-2014-9750 的补丁不完整:在 ntp_crypto.c 的值长度检查中发现三个问题,其中具有特定 autokey 操作且包含恶意数据的数据包并非总是完全验证。接收这些数据包可能导致 ntpd 崩溃。

CVE-2015-7701

在 ntpd 的 CRYPTO_ASSOC 中发现一个内存泄漏缺陷。如果 ntpd 配置为使用 autokey 认证,则攻击者可以向 ntpd 发送数据包,并在几天连续不断的攻击后导致其内存不足。

CVE-2015-7703

Red Hat 的 Miroslav Lichvar 发现 :config 命令可用于设置 pidfile 和 driftfile 路径,而不受任何限制。远程攻击者可利用此缺陷将文件系统中的文件覆盖为包含 ntpd 进程 pid 的文件(立即)或当前估计的系统时钟漂移(以每小时为间隔)。例如:ntpq -c ':config pidfile /tmp/ntp.pid' ntpq -c ':config driftfile /tmp/ntp.drift'。在 Debian 中,ntpd 被配置为放弃根权限,这限制了此问题的影响。

CVE-2015-7704

当 ntpd 作为 NTP 客户端从服务器收到 Kiss-of-Death (KoD) 数据包以减小其轮询速率时,它不检查回复中的发起时间戳是否与其请求中的传输时间戳匹配。路径外的攻击者可能会发送构建的 KoD 数据包到客户端,从而将客户端的轮询间隔增加至较大的值,并有效地禁用与服务器的同步。

CVE-2015-7850

网络时间协议的远程配置功能中存在一个可利用的拒绝服务漏洞。特别构建的配置文件可造成导致拒绝服务的死循环。攻击者可提供恶意配置文件来触发此漏洞。

CVE-2015-7851

在 VMS 中保存 ntpd 的配置文件时,存在潜在的路径遍历漏洞。特别构建的路径可造成路径遍历,从而可能导致文件被覆盖。攻击者可提供恶意路径来触发此漏洞。

此问题不影响 Debian。

CVE-2015-7852

ntpq 的 cookedprint 功能中存在潜在差一漏洞。特别构建的缓冲区可能导致缓冲区溢出,从而可能造成越界写入空字节。

CVE-2015-7855

已发现在处理模式 6 或模式 7 数据包(本应包含网络地址,实际包含异常长的数据值)时,NTP 的 decodenetnum() 因断言失败而中止。这可能允许经认证的攻击者使 ntpd 崩溃。

CVE-2015-7871

在 ntpd 中处理逻辑错误时的错误,原因是未正确处理与某些 crypto-NAK 数据包关联的错误条件。未经认证的路径外攻击者可通过将对称的活动 crypto-NAK 数据包传输到 ntpd,在目标服务器上强制执行 ntpd 进程,以便与攻击者所选时间源保持一致。此攻击者绕过通常需要建立对等关联的认证,并允许攻击者对系统时间进行任意更改。

注意:Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

升级受影响的 ntp、ntp-doc 和 ntpdate 程序包。

另见

https://lists.debian.org/debian-lts-announce/2015/10/msg00015.html

https://packages.debian.org/source/squeeze-lts/ntp

https://www.tenable.com/security/research/tra-2015-04

插件详情

严重性: Critical

ID: 86640

文件名: debian_DLA-335.nasl

版本: 2.19

类型: local

代理: unix

发布时间: 2015/10/29

最近更新时间: 2021/1/11

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 6.1

矢量: AV:N/AC:L/Au:N/C:N/I:N/A:C

时间矢量: E:POC/RL:OF/RC:C

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:ntp, p-cpe:/a:debian:debian_linux:ntp-doc, p-cpe:/a:debian:debian_linux:ntpdate, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/10/28

漏洞发布日期: 2017/7/21

参考资料信息

CVE: CVE-2015-5146, CVE-2015-5194, CVE-2015-5195, CVE-2015-5219, CVE-2015-5300, CVE-2015-7691, CVE-2015-7692, CVE-2015-7701, CVE-2015-7702, CVE-2015-7703, CVE-2015-7704, CVE-2015-7850, CVE-2015-7851, CVE-2015-7852, CVE-2015-7855, CVE-2015-7871

BID: 75589