Összefoglaló
Az NTP fejlesztői számos sérülékenységet orvosoltak. Ezek többnyire szolgáltatásmegtagadásos támadásokhoz járulhatnak hozzá, de esetenként adatszivárgást, adatmanipulációkat is lehetővé tehetnek.
Leírás
Az érintett összetevők, funkciók:
- broadcast csomagkezelés
- kulcsellenőrzés
- nextvar() függvény
- ntpq saveconfig parancs
- ntpdc reslist parancs
- egyéb ntpq és ntpdc hibák.
Megoldás
A 4.2.8p6-os verzió már nem tartalmazza a fenti sérülékenységeket.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: support.ntp.org
CVE-2015-7973 - NVD CVE-2015-7973
CVE-2015-7974 - NVD CVE-2015-7974
CVE-2015-7975 - NVD CVE-2015-7975
CVE-2015-7976 - NVD CVE-2015-7976
CVE-2015-7977 - NVD CVE-2015-7977
CVE-2015-7978 - NVD CVE-2015-7978
CVE-2015-7979 - NVD CVE-2015-7979
CVE-2015-8138 - NVD CVE-2015-8138
CVE-2015-8139 - NVD CVE-2015-8139
CVE-2015-8140 - NVD CVE-2015-8140
CVE-2015-8158 - NVD CVE-2015-8158