Debian DSA-3388-1：ntp - 安全更新

critical Nessus 插件 ID 86682

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

在网络时间协议后台程序和实用工具程序中发现了多种漏洞：

- CVE-2015-5146 在 ntpd 处理某些远程配置数据包的方式中发现一个缺陷。如果出现以下情况，攻击者可利用特别构建的程序包造成 ntpd 崩溃：

- ntpd 启用了远程配置
- 攻击者知道配置密码

- 攻击者具有计算机信任的访问权限以执行远程配置

请注意，远程配置默认情况下在 NTP 中禁用。

- CVE-2015-5194 已发现 ntpd 可能由于处理不规范 logconfig 配置命令时未初始化变量而崩溃。

- CVE-2015-5195 已发现编译期间未启用的 statistics 类型（如 timingstats）被 statistics 或 filegen 配置命令引用时，ntpd 因分段错误而退出。

- CVE-2015-5219 已发现收到构建的 NTP 数据包时，sntp 后台程序将陷入无限循环，此问题与数据包中的精度值到双精度值的转换有关。

- CVE-2015-5300 已发现 ntpd 未正确实现 -g 选项：

正常情况下，如果偏移超出错误阈值（默认为 1000 秒），ntpd 将退出，并将一条消息写入到系统日志。此选项允许将时间设置为任意值而不受限制；但此情况只能发生一次。如果此后超出阈值，ntpd 将退出并将一条消息写入到系统日志。此选项可以与 -q 和 -x 选项结合使用。

如果 ntpd 的时钟规则没有足够时间来达到同步状态，因此停留在原处以获取至少一个更新，则 ntpd 实际可能多次步进时钟使其超出错误阈值。如果中间人攻击者可以控制 ntpd 启动以来的 NTP 流量（或者启动后最多 15-30 分钟的 NTP 流量），则可阻止客户端达到同步状态，并强制客户端对时钟执行任意次数任意量的步进，然后攻击者可以借此使证书过期，等等。

这与文档的内容相反。通常情况下，假设 ntpd 启动时 MITM 攻击者可以步进时钟超出错误阈值仅一次，为进行更大的调整，攻击者必须将其分成多个较小的步进，每个需要 15 分钟，较为缓慢。

- CVE-2015-7691、CVE-2015-7692、CVE-2015-7702 已发现针对 CVE-2014-9750 的补丁不完整：在 ntp_crypto.c 的值长度检查中发现三个问题，其中具有特定 autokey 操作的数据包包含恶意数据时并非总是完全验证。接收这些数据包可能导致 ntpd 崩溃。

- CVE-2015-7701 在 ntpd 的 CRYPTO_ASSOC 中发现一个内存泄漏缺陷。如果 ntpd 配置为使用 autokey 认证，则攻击者可以向 ntpd 发送数据包，并在几天连续不断的攻击后导致其内存不足。

- CVE-2015-7703 Red Hat 的 Miroslav Lichvar 发现 :config 命令可用于设置 pidfile 和 driftfile 路径，而不受任何限制。远程攻击者可利用此缺陷将文件系统中的文件覆盖为包含 ntpd 进程 pid 的文件（立即）或当前估计的系统时钟漂移（以每小时为间隔）。例如：

ntpq -c ':config pidfile /tmp/ntp.pid'ntpq -c ':config driftfile /tmp/ntp.drift'

在 Debian 中，ntpd 配置为放弃根权限，这限制了此问题的影响。

- CVE-2015-7704 如果 ntpd 作为 NTP 客户端从服务器收到 Kiss-of-Death (KoD) 数据包以减小其轮询速率时，它不检查回复中的原始时间戳是否与其请求中的传输时间戳匹配。路径外的攻击者可能会发送构建的 KoD 数据包到客户端，从而将客户端的轮询间隔增加至较大的值，并有效地禁用与服务器的同步。

- CVE-2015-7850 网络时间协议的远程配置功能中存在一个可利用的拒绝服务漏洞。特别构建的配置文件可造成导致拒绝服务的死循环。攻击者可提供恶意配置文件来触发此漏洞。

- CVE-2015-7852 ntpq 的 cookedprint 功能中存在潜在的差一漏洞。特别构建的缓冲区可能导致缓冲区溢出，从而可能造成越界写入空字节。

- CVE-2015-7855 已发现在处理模式 6 或模式 7 数据包（本应包含网络地址，实际包含异常长的数据值）时，NTP 的 decodenetnum() 因断言失败而中止。这可能允许经认证的攻击者使 ntpd 崩溃。

- CVE-2015-7871 在 ntpd 中处理逻辑错误时的错误，原因是未正确处理与某些 crypto-NAK 数据包关联的错误条件。未经认证的路径外攻击者可通过将对称的活动 crypto-NAK 数据包传输到 ntpd，在目标服务器上强制执行 ntpd 进程，以便与攻击者所选时间源保持一致。此攻击者绕过通常需要建立对等关联的认证，并允许攻击者对系统时间进行任意更改。