[SECURITY-L] CAIS-Alerta: Vulnerabilidades em implementacao do NTP
CSIRT - UNICAMP
security em unicamp.br
Seg Jun 1 09:02:40 -03 2009
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidades em implementacao do NTP
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 29 May 2009 15:51:52 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' repassando o boletim do US-CERT intitulado "ntpd autokey
stack buffer overflow (VU#853097)", que trata de uma vulnerabilidade
critica na implementacao NTP da NTP Public Services Project - a
implementacao mais popular do protocolo.
O protocolo Network Time Protocol (NTP) e' utilizado para sincronizacao do
relogio de sistemas computacionais.
Foi descoberta uma vulnerabilidade critica na funcionalidade autokey do
daemon NTPD, um esquema de autenticacao para o protocolo NTP proposto por
David L. Mills. Duas outras vulnerabilidades com grau de severidade menor
foram divulgadas pelo NTP Public Services Project.
Um atacante pode criar um pacote do protocolo NTP que explora a
vulnerabilidade descrita em CVE-2009-1252 e depois envia-lo para um
servidor NTP afetado, causando buffer overflow e assim permitindo que
codigo malicioso seja executado com os privilegios do usuario utilizado
pelo processo ntpd.
Administradores de sistemas frequentemente configuram este servico para
execucao com usuario "root", o que aumenta o impacto desta
vulnerabilidade. O CAIS recomenda que se utilize, sempre que possivel, um
usuario sem privilegios de "superuser" para servicos de rede.
SISTEMAS AFETADOS
. Release Stable: versoes anteriores a 4.2.4p7
. Release Development: versoes anteriores a 4.2.5p74
A implementacao OpenNTPD (OpenBSD) nao e' afetada por esta
vulnerabilidade.
CORRECOES DISPONIVEIS
Recomenda-se atualizar os sistemas para as versoes disponiveis em:
. NTP Project Download Page
http://www.ntp.org/downloads.html
Caso nao seja possivel realizar a atualizacao imediatamente e' possivel
mitigar a vulnerabilidade simplesmente desabilitando a autenticacao
Autokey.
Esta configuracao vulneravel e' indicada pela linha "crypto pw password"
no arquivo de configuracao ntp.conf, onde "password" e' a senha que foi
configurada previamente. E' necessario recarregar o daemon apos esta
alteracao.
MAIS INFORMACOES
. ntpd autokey stack buffer overflow (VU#853097)
http://www.kb.cert.org/vuls/id/853097
. Security Notice - Remote exploit if autokey is enabled
http://support.ntp.org/bin/view/Main/SecurityNotice
. [ntp:announce] NTP 4.2.4p7 Released
http://lists.ntp.org/pipermail/announce/2009-May/000062.html
. NTP Bugzilla - limited buffer overflow in ntpq
https://support.ntp.org/bugs/show_bug.cgi?id=1144
. NTP Bugzilla Windows ntpd should secure UDP 123 with SO_EXCLUSIVEADDRUSE
https://support.ntp.org/bugs/show_bug.cgi?id=1149
. NTP Bugzilla - Remote exploit if autokey is enabled
https://support.ntp.org/bugs/show_bug.cgi?id=1151
Identificador CVE (http://cve.mitre.org): CVE-2009-0159, CVE-2009-1252
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBSiAuzukli63F4U8VAQEXMwP+L8FIfW502WTvoiJxtAhNoSzPPedws8/R
zjdpmKSxhqHy6iajJq4CDlaucbTQv8c+6tRL9EG7za8YU+VHMYV767YVQK8OLlvn
p2aTD245pfEV9KB7MDIN5toFyIoeFO3Wn9lS2+UilTc4MM85C8GGEobhE2ChSHes
w8Kbre5gjow=
=AgPV
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L