Debian DLA-335-1：ntp セキュリティ更新

critical Nessus プラグイン ID 86640

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

複数のセキュリティ問題が ntp で見つかりました：

CVE-2015-5146

ntpd が特定のリモート構成パケットを処理する方法で欠陥が見つかりました。以下の場合、攻撃者が特別に細工されたパッケージを使用して、ntpd をクラッシュさせる可能性があります：

- ntpd がリモート構成を可能にしました

- 攻撃者に構成パスワードの知識がありました。

- 攻撃者は、リモート構成の実行を任されたコンピューターにアクセスできました。

注意：リモート構成は、NTP ではデフォルトで無効となっています。

CVE-2015-5194

無効な形式の logconfig 構成コマンドを処理する際に、初期化されていない変数により、ntpd がクラッシュする可能性があることが判明しました。

CVE-2015-5195

コンパイル中に有効化されない統計タイプ（例：timingstats）が、統計または filegen 構成コマンドによって参照される場合に、
ntpd でセグメンテーション違反が起きることが判明しました。

CVE-2015-5219

倍精度への値の変換に関連して、細工された NTP パケットが受け取られると、sntp プログラムが無限ループに陥ることが判明しました。

CVE-2015-5300

ntpd が -g オプションを適切に実装していないことが判明しました：
通常、もしデフォルト値が 1000 s のオフセットが、パニックしきい値を超えると、ntpd はシステムログへのメッセージを出力して終了します。このオプションにより、制限なしに時刻をあらゆる値に設定できますが、これは 1 回のみ発生します。その後閾値を過した場合は、ntpd が終了してメッセージがシステムログに記録されます。このオプションは -q と -x オプションを併用できます。tpd は、同期状態に達して最低 1 回の更新を待つための時間がクロック制御に足りない場合、パニックしきい値以上の値でクロックを実際に複数回ステップさせる可能性があります。中間者攻撃の攻撃者は、ntpd の起動以降に（または起動してから最大 15 分から 30 分後までに）NTP トラフィックをコントロールできる場合、クライアントが同期状態に達することを妨害し、クライアントのクロックを何回でも好きな量だけ強制的にステップさせることが可能です。攻撃者はこれを利用して、証明書を有効期限切れにするなどの攻撃を仕掛ける可能性があります。
これはドキュメントの記述と反対です。通常は、MITM 攻撃者が、ntpd が起動したとき 1 回だけクロックをパニック閾値を超えてステップさせることができるという想定です。そして調整をより大きくするために、攻撃者はこれを複数の小さなステップに分割する必要があり、それぞれ 15 分かかるため、これは遅くなります。

CVE-2015-7691、CVE-2015-7692、CVE-2015-7702

CVE-2014-9750 の修正が不完全であることが判明しました：ntp_crypto.c の値の長さチェックに、3 つの問題が見つかりました。このため、悪意のあるデータが含まれる特定の autokey 操作を伴うパケットが、常に完全に検証されるとは限りませんでした。これらのパケットを受信すると、 ntpd がクラッシュする可能性があります。

CVE-2015-7701

ntpd の CRYPTO_ASSOC でメモリ漏洩の欠陥が見つかりました。ntpd が autokey 認証を使用するように構成されている場合、攻撃者が ntpd にパケットを送信し、数日間の攻撃の実行によってメモリを枯渇させる可能性があります。

CVE-2015-7703

pidfile と driftfile のパスを設定するために制限無しに :config コマンドを使用できることを、Red Hat の Miroslav Lichvar 氏が発見しました。リモートの攻撃者が、この欠陥を利用して、ntpd プロセスの pid を含むファイルを使用してファイルシステム上のファイルに上書きしたり（即時）、システムクロックの現在の推定ドリフトを（1 時間の間隔で）上書きしたりする可能性があります。たとえば、Debian ntpd の ntpq -c ':config pidfile /tmp/ntp.pid' ntpq -c ':config driftfile /tmp/ntp.drift' は、この問題の影響を制限する root 権限をドロップするために構成されます。

CVE-2015-7704

NTP クライアントがポーリングレートを少なくするために Kiss-of-Death（KoD）パケットをサーバーから受け取る場合、返信の元々のタイムスタンプがリクエストからの送信タイムスタンプと一致するかをチェックしません。オフパスの攻撃者が、細工された KoD パケットをクライアントに送信し、クライアントのポーリング間隔を大きな値に増加させて、実際上サーバーとの同期を無効にする可能性があります。

CVE-2015-7850

ネットワークタイムプロトコルのリモート構成機能には悪用可能なサービス拒否の脆弱性が存在します。特別に細工された構成ファイルにより、無限ループが発生し、サービス拒否が引き起こされる可能性があります。攻撃者は、この脆弱性を発生させる悪意のある構成ファイルを提供する可能性があります。

CVE-2015-7851

潜在的なパストラバーサルの脆弱性が、VMS に ntpd の構成ファイルを保存する際に存在します。特別に細工されたパスにより、パストラバーサルの可能性が発生し、ファイルが上書きされる可能性があります。攻撃者は脆弱性を引き起こす悪意のあるパスを与える可能性があります。

この問題は、Debian に影響しません。

CVE-2015-7852

ntpq の cookedprint 機能に、潜在的な off by one 脆弱性が存在します。特別に細工されたバッファにより、バッファオーバーフローが発生し、その結果 null バイトが領域外に書き込まれる可能性があります。

CVE-2015-7855

ネットワークアドレスが予測できる通常よりも長いデータ値を含むモード 6 またはモード 7 パケットの処理をする場合、NTP の decodenetnum() が、アサーションの失敗で中断することが判明しました。これにより、認証された攻撃者が ntpd をクラッシュする可能性があります。

CVE-2015-7871

特定の crypto-NAK パケットに関連するエラー状態の不適切な処理が明らかな原因であるロジックエラーを処理する際、ntpd 内にエラーが存在します。認証されていない off-path 攻撃者は、ntpd に対称アクティブ crypto-NAK パケットを送信することによって攻撃者が選択するタイムソースに、ターゲットサーバーの ntpd プロセスを強制的にピア接続させることが可能です。この攻撃により、ピア関連付けを確立するために一般に必要な認証がバイパスされ、攻撃者がシステム時刻を任意に変更できるようになります。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。