You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1538

[Generic/ntp] Schwachstellen in ntpd sowie ntpq
(2009-05-19 18:20:25.67247+00) Druckversion

Quelle: http://lists.ntp.org/pipermail/announce/2009-May/000062.html

Eine Pufferüberlaufschwachstelle im Network Time Protocol Daemon (ntpd) mit einkompilierter OpenSSL-Unterstützung kann von einem Angreifer durch das Senden eines entsprechend präparierten Requests dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des ntpd-Prozesses auszuführen. Eine weitere Schwachstelle im ntp-Anfragewerkzeug ntpq kann durch das Senden einer entsprechend manipulierten ntp-Antwort dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des ntpq-Prozesses auszuführen.

Inhalt

Zusammenfassung

  • CVE-2009-0159:
    Betroffen: ntpq 4.2.4p6 und 4.2.5p73
    Nicht betroffen: ntpq 4.2.4p7 und 4.2.5p74
    Einfallstor: ntp answer
    Angriffsvoraussetzung:network
    Angriffsvektorklasse: remote
    Auswirkung: user/system compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch/sehr hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-0159
  • CVE-2009-1252:
    Betroffen: ntpd 4.2.4p6 und 4.2.5p73
    Nicht betroffen: ntpd 4.2.4p7 und 4.2.5p74
    Einfallstor: ntp request
    Angriffsvoraussetzung:network
    Angriffsvektorklasse: remote
    Auswirkung: system compromise
    Typ: Speicherverletzung
    Gefahrenpotential: sehr hoch
    Workaround: ja
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-1252

Betroffene Systeme

  • CVE-2009-0159:
    • ntpq 4.2.4p6
    • ntpq 4.2.5p73
  • CVE-2009-1252:
    • ntpd 4.2.4p6
    • ntpd 4.2.5p73

Nicht betroffene Systeme

  • CVE-2009-0159:
    • ntpq 4.2.4p7
    • ntpq 4.2.5p74
  • CVE-2009-1252:
    • ntpd 4.2.4p7
    • ntpd 4.2.5p74

Einfallstor

  • CVE-2009-0159:
    ntp response
  • CVE-2009-1252:
  • ntp request

Angriffsvoraussetzung

  • CVE-2009-0159:
    Zugriff auf ein Netzwerk, über das ntp Antworten an ein verwundbares System gesandt werden können
    (network)
  • CVE-2009-1252:
    • Zugriff auf ein Netzwerk, über das ntp requests an ein verwundbares System gesandt werden können
      (network)
    • Konfiguration des betroffenen Systems für die kryptographische Authentifizierung; Dies ist voreingestellt nicht der Fall.
      (configuration)

Angriffsvektorklasse

  • CVE-2009-0159:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2009-1252:
    über eine Netzwerkverbindung
    (remote)

Auswirkung

  • CVE-2009-0159:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System
    (user compromise; sofern rtpq mit administrativen Privilegien aufgerufen wird: system compromise)
  • CVE-2009-1252:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
    (system compromise)

Typ der Verwundbarkeit

  • CVE-2009-0159:
    Speicherverletzung
    (memory corruption)
  • CVE-2009-1252:
    Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • CVE-2009-0159:
    Je nach den Privilegien des ntpq-Prozesses:
    hoch, sofern der Prozess nicht-administrative Privilegien besitzt, bzw.
    sehr hoch, sofern der Prozess administrative Privilegien besitzt
  • CVE-2009-1252:
    sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext

  • CVE-2009-0159:
    Das Network Time Protocol dient zur Synchronisation der Systemuhren von Rechnersystemen über das Netzwerk. Es wurde speziell für Netzwerke mit variabler Paketlaufzeit entwickelt und kann daher zur zuverlässigen Zeitsynchronisation in IP-basierten Netzen verwendet werden. Anfrageprogramme, wie z.B. ntpq können mittels des NTP eine Anfrage an einen Time Server stellen, der z.B. über einen DCF77-Empfänger die Zeit über Zeitsignale einer Atomuhr erhält. Ein sehr weit verbreiteter NTP-Zeitserver ist ntpd, der entsprechende Anfragen beantwortet.

    NTP-Zeitserver können kaskadiert werden, so dass mehrere Zeitserver in einem Netz von einem Zeitserver, der Zugriff auf einen DCF77-Empfänger hat, versorgt werden. Diese Zeitserver wiederum versorgen ihre lokalen Klienten mit der genauen Zeit.

  • CVE-2009-1252:
    Das Network Time Protocol dient zur Synchronisation der Systemuhren von Rechnersystemen über das Netzwerk. Es wurde speziell für Netzwerke mit variabler Paketlaufzeit entwickelt und kann daher zur zuverlässigen Zeitsynchronisation in IP-basierten Netzen verwendet werden. Anfrageprogramme, wie z.B. ntpq können mittels des NTP eine Anfrage an einen Time Server stellen, der z.B. über einen DCF77-Empfänger die Zeit über Zeitsignale einer Atomuhr erhält. Ein sehr weit verbreiteter NTP-Zeitserver ist ntpd, der entsprechende Anfragen beantwortet.

    NTP-Zeitserver können kaskadiert werden, so dass mehrere Zeitserver in einem Netz von einem Zeitserver, der Zugriff auf einen DCF77-Empfänger hat, versorgt werden. Diese Zeitserver wiederum versorgen ihre lokalen Klienten mit der genauen Zeit.

Beschreibung

  • CVE-2009-0159:
    Eine Pufferüberlaufschwachstelle im Anfragewerkzeug ntpq kann von einem Angreifer durch das Senden einer entsprechend präparierten Antwort dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Der Code wird dabei mit den Privilegien des ntpq-Prozesses ausgeführt.

    Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer in der Lage sein, einem verwundbaren System eine entsprechend präparierte ntp Antwort zu senden, für die er vorher eine Anfrage (request) gesendet hat. Dazu muss der Angreifer entweder Zugriff zu dem Netzwerk haben, über das das Opfer Anfragen an seinen bevorzugten ntp-Server schickt, oder er muss einen entsprechenden ntp-Server betreiben an den das Opfer seine Anfragen sendet.

  • CVE-2009-1252:
  • Eine Pufferüberlaufschwachstelle im Network Time Protocol Daemon (ntpd) mit einkompilierter OpenSSL-Unterstützung kann von einem Angreifer durch das Senden eines entsprechend präparierten Requests dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.

    Der Code wird dabei mit den Privilegien des ntpd-Prozesses ausgeführt, dies sind im allgemeinen administrative Privilegien, so dass die erfolgreiche Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems führt.

    Die Schwachstelle tritt im Code für die Unterstützung für die kryptographische Authentifizierung mit OpenSSL auf. Daher kann sie nur ausgenutzt werden kann, wenn ntpd für die kryptographische Authentifizierung konfiguriert ist. Dies ist voreingestellt nicht der Fall.

    Neben den genannten Voraussetzungen muss der Angreifer lediglich in der Lage sein, ntp requests an ein betroffenes System zu senden.

Workaround

  • CVE-2009-0159:
    Es ist kein Workaround bekannt
  • CVE-2009-1252:
    Deaktivierung der kyptographischen Authentifizierung

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.