Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/11/2016
Vulnerabilidades en NTP
La Fundación NTP ha publicado una nueva versión de ntpd que corrige varias vulnerabilidades que podrían causar la denegación de servicio.Esta nueva versión de ntpd corrige un total de 10 vulnerabilidades.
La más grave afecta únicamente a instancias de ntpd sobre Windows y puede causar una denegación de servicio si se recibe un paquete demasiado grande.
El resto de vulnerabilidades son menos críticas e incluyen varias vulnerabilidades de consumo incontrolado de recursos, validación de entrada incorrecta, puntero a nulo, y mala configuración de los límites de envío de respuestas, entre otros.
Sistemas Afectados:Versiones de ntpd anteriores a ntp-4.2.8p9.
Referencias:CVE-2016-9311, CVE-2016-9310, CVE-2016-7427, CVE-2016-7428, CVE-2016-9312, CVE-2016-7431, CVE-2016-7434, CVE-2016-7429, CVE-2016-7426, CVE-2016-7433
Solución:Actualizar a la última versión disponible en NTP.org.
Si no es posible actualizar, implementar BCP-38 para restringir consultas de modo 6 en redes y equipos de confianza.
Notas:CERT.org Vulnerability Note VU#633847
Network Time Foundation Publishes NTP 4.2.8p9