Debian DSA-3388-1：ntp - セキュリティ更新

critical Nessus プラグイン ID 86682

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Network Time Protocol デーモンとユーティリティプログラムにいくつかの脆弱性が見つかりました。

- CVE-2015-5146 ntpd が特定のリモート構成パケットを処理する方法で、欠陥が見つかりました。以下の場合、攻撃者が特別に細工されたパッケージを使用して、ntpd をクラッシュさせる可能性があります：

- ntpd によるリモート構成が可能です。
- 攻撃者に構成パスワードの知識があります。

- 攻撃者は、リモート構成の実行を任されたコンピューターにアクセスできました。

注意：リモート構成は、NTP ではデフォルトで無効となっています。

- CVE-2015-5194 無効な形式の logconfig 構成コマンドを処理する際に、初期化されていない変数により、ntpd がクラッシュする可能性があることが判明しました。

- CVE-2015-5195 コンパイル中に有効でなかった統計タイプ（例：timingstats）が、統計または filegen 構成コマンドによって参照されると、ntpd がセグメンテーション違反で終了することが判明しました。

- CVE-2015-5219 パケットの精度値を倍増させる変換に関連する細工された NTP パケットを受信すると、sntp プログラムが無限ループでハングアップすることが判明しました。

- CVE-2015-5300 ntpd が正しく -g オプションを実装しないことが判明しました。

通常、オフセットがデフォルトで 1000 秒のパニックしきい値を超えると、ntpd はシステムログにメッセージを出力して終了します。このオプションにより、制限なしに時刻をあらゆる値に設定できますが、これは 1 回のみ発生します。その後閾値を過した場合は、ntpd が終了してメッセージがシステムログに記録されます。このオプションは -q および -x オプションと併用することができます。

ntpd は、同期状態に達して最低 1 回の更新を待つための時間がクロック制御に足りない場合、パニックしきい値以上の値でクロックを実際に複数回ステップさせる可能性があります。中間者攻撃者は、ntpd の起動以降に（または起動してから最大 15 分から 30 分後までに） NTP トラフィックをコントロールできる場合、クライアントが同期状態に達することを妨害し、クライアントのクロックを何回でも好きな時間量だけ強制的にステップさせることが可能です。攻撃者はこれを利用して、証明書を有効期限切れにするなどの攻撃を仕掛ける可能性があります。

これはドキュメントの記述内容に反しています。通常は、MITM 攻撃者が、ntpd が起動したとき 1 回だけクロックをパニック閾値を超えてステップさせることができるという想定です。そして調整をより大きくするために、攻撃者はこれを複数の小さなステップに分割する必要があり、それぞれ 15 分かかるため、これは遅くなります。

- CVE-2015-7691、CVE-2015-7692、CVE-2015-7702 CVE-2014-9750 の修正が不完全であることが判明し、ntp_crypto.c の値の長さチェックに 3 つの問題が見つかりました。このため、悪意のあるデータが含まれる特定の autokey 操作を伴うパケットは、いつも完全に検証されるとは限りませんでした。これらのパケットを受信すると、 ntpd がクラッシュする可能性があります。

- CVE-2015-7701 ntpd の CRYPTO_ASSOC にメモリ漏洩の欠陥が見つかりました。ntpd が autokey 認証を使用するように構成されている場合、攻撃者が ntpd にパケットを送信し、数日間の攻撃の実行によってメモリを枯渇させる可能性があります。

- CVE-2015-7703 Red Hat の Miroslav Lichvar 氏は、pidfile と driftfile のパスを設定するために無制限で :config コマンドを使用できることを発見しました。リモートの攻撃者が、この欠陥を利用して、ntpd プロセスの pid を含むファイルを使用してファイルシステム上のファイルに上書きしたり（即時）、システムクロックの現在の推定ドリフトを（1 時間の間隔で）上書きしたりする可能性があります。たとえば、

ntpq -c ':config pidfile /tmp/ntp.pid'ntpq -c ':config driftfile /tmp/ntp.drift'

Debian では、root 権限を下げて ntpd を構成することで、この問題の影響を制限しています。

- CVE-2015-7704 NTP クライアントとしての ntpd がポーリングレートを低減するためにサーバーから Kiss-of-Death (KoD) パケットを受信する場合、ntpd は返信内にある送信元のタイムスタンプがリクエストからの送信タイムスタンプに一致するかどうかをチェックしません。オフパスの攻撃者が、細工された KoD パケットをクライアントに送信し、クライアントのポーリング間隔を大きな値に増加させて、実際上サーバーとの同期を無効にする可能性があります。

- CVE-2015-7850 Network Time Protocol のリモート構成機能に、悪用可能なサービス拒否の脆弱性が存在します。特別に細工された構成ファイルにより、無限ループが発生し、サービス拒否が引き起こされる可能性があります。攻撃者は、この脆弱性を引き起こす悪意のある構成ファイルを提供する可能性があります。

- CVE-2015-7852 ntpq の cookedprint 機能に、潜在的な off-by-one の脆弱性が存在します。特別に細工されたバッファにより、バッファオーバーフローが発生し、その結果 null バイトが領域外に書き込まれる可能性があります。

- CVE-2015-7855 ネットワークアドレスであることが期待される非常に長いデータ値を含むモード 6 またはモード 7 のパケットの処理時に、NTP の decodenetnum() がアサーションの失敗で中断することが判明しました。これにより、認証された攻撃者が ntpd をクラッシュする可能性があります。

- CVE-2015-7871 特定の crypto-NAK パケットに関連するエラー状態の不適切な処理が明らかな原因であるロジックエラーを処理する際、ntpd 内にエラーが存在します。認証されていない off-path 攻撃者は、ntpd に対称アクティブ crypto-NAK パケットを送信することによって攻撃者が選択するタイムソースに、ターゲットサーバーの ntpd プロセスを強制的にピア接続させることが可能です。この攻撃により、ピア関連付けを確立するために一般に必要な認証がバイパスされ、攻撃者がシステム時刻を任意に変更できるようになります。

ソリューション

ntp パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（wheezy）では、これらの問題はバージョン 1:4.2.6.p5+dfsg-2+deb7u6 で修正されています。

安定版（stable）ディストリビューション（jessie）では、これらの問題はバージョン 1:4.2.6.p5+dfsg-7+deb8u1 で修正されています。