[SECURITY-L] CAIS-Alerta: Vulnerabilidades em implementacao do NTP

CSIRT - UNICAMP security em unicamp.br
Seg Jun 1 09:02:40 -03 2009 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Vulnerabilidades em implementacao do NTP
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 29 May 2009 15:51:52 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o boletim do US-CERT intitulado "ntpd autokey 
stack buffer overflow (VU#853097)", que trata de uma vulnerabilidade 
critica na implementacao NTP da NTP Public Services Project - a 
implementacao mais popular do protocolo.

O protocolo Network Time Protocol (NTP) e' utilizado para sincronizacao do 
relogio de sistemas computacionais.

Foi descoberta uma vulnerabilidade critica na funcionalidade autokey do 
daemon NTPD, um esquema de autenticacao para o protocolo NTP proposto por 
David L. Mills. Duas outras vulnerabilidades com grau de severidade menor 
foram divulgadas pelo NTP Public Services Project.

Um atacante pode criar um pacote do protocolo NTP que explora a 
vulnerabilidade descrita em CVE-2009-1252 e depois envia-lo para um 
servidor NTP afetado, causando buffer overflow e assim permitindo que 
codigo malicioso seja executado com os privilegios do usuario utilizado 
pelo processo ntpd.

Administradores de sistemas frequentemente configuram este servico para 
execucao com usuario "root", o que aumenta o impacto desta 
vulnerabilidade. O CAIS recomenda que se utilize, sempre que possivel, um 
usuario sem privilegios de "superuser" para servicos de rede.


SISTEMAS AFETADOS

. Release Stable: versoes anteriores a 4.2.4p7
. Release Development: versoes anteriores a 4.2.5p74

A implementacao OpenNTPD (OpenBSD) nao e' afetada por esta 
vulnerabilidade.


CORRECOES DISPONIVEIS

Recomenda-se atualizar os sistemas para as versoes disponiveis em:

. NTP Project Download Page
  http://www.ntp.org/downloads.html

Caso nao seja possivel realizar a atualizacao imediatamente e' possivel 
mitigar a vulnerabilidade simplesmente desabilitando a autenticacao 
Autokey.

Esta configuracao vulneravel e' indicada pela linha "crypto pw password" 
no arquivo de configuracao ntp.conf, onde "password" e' a senha que foi 
configurada previamente. E' necessario recarregar o daemon apos esta 
alteracao.


MAIS INFORMACOES

. ntpd autokey stack buffer overflow (VU#853097)
  http://www.kb.cert.org/vuls/id/853097

. Security Notice - Remote exploit if autokey is enabled
  http://support.ntp.org/bin/view/Main/SecurityNotice

. [ntp:announce] NTP 4.2.4p7 Released
  http://lists.ntp.org/pipermail/announce/2009-May/000062.html

. NTP Bugzilla - limited buffer overflow in ntpq
  https://support.ntp.org/bugs/show_bug.cgi?id=1144

. NTP Bugzilla Windows ntpd should secure UDP 123 with SO_EXCLUSIVEADDRUSE
  https://support.ntp.org/bugs/show_bug.cgi?id=1149

. NTP Bugzilla - Remote exploit if autokey is enabled
  https://support.ntp.org/bugs/show_bug.cgi?id=1151


Identificador CVE (http://cve.mitre.org): CVE-2009-0159, CVE-2009-1252

O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.


Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSiAuzukli63F4U8VAQEXMwP+L8FIfW502WTvoiJxtAhNoSzPPedws8/R
zjdpmKSxhqHy6iajJq4CDlaucbTQv8c+6tRL9EG7za8YU+VHMYV767YVQK8OLlvn
p2aTD245pfEV9KB7MDIN5toFyIoeFO3Wn9lS2+UilTc4MM85C8GGEobhE2ChSHes
w8Kbre5gjow=
=AgPV
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L