Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/10/2015
Múltiples vulnerabilitats detectades en NTP
En la nova versió publicada s’han corregit un total de 16 vulnerabilitats detectades, així com altres fallades menors.Les vulnerabilitats corregides inclouen diversos problemes de corrupció de memòria, un problema pel qual es podrien sobreescriure fitxers de configuració, i fallades que podrien provocar el tancament de l’aplicació i per tant de causar una situació de denegació de servici.
Però la fallada més important de les corregides és una que s’ha anomenat "NAK to the Future" que permetria a un atacant poder fixar el temps d’un servidor NTP vulnerable a la seua voluntat, la qual cosa permetria atacs contra els clients que se sincronitzen amb el servidor afectat basats en la caducitat dels seus certificats digitals.
Sistemes Afectats:Servidors NTP amb versions anteriors a ntp-4.2.8p4.
Referències:CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-2015-7702
Solució:Actualitzar a la versió ntp-4.2.8p4 que s’acaba de publicar.
Notes:October 2015 NTP Security Vulnerability Announcement