NTP lukker to huller

Artiklen blev oprindeligt publiceret den 9/4/2015

To mindre alvorlige sikkerhedshuller i tidssynkroniseringssystemet NTP (Network Time Protocol) er lukket. Fejlene findes i serverprogrammet NTPD.

Det ene hul gør det muligt at omgå et sikkerhedstjek. Hvis en NTP-server er sat op til at autentificere med en anden server, sker det ved at tjekke en kode. Men hvis der ikke er nogen kode i datapakkerne, bliver forbindelsen alligevel godkendt.

Den anden sårbarhed giver angribere mulighed for at udføre et DoS-angreb, der forhindrer to servere i at kommunikere med hinanden.

Fejlene er rettet i NTPD 4.2.8p2.

Anbefaling
Opdater til NTPD 4.2.8p2.

Links

• NTPD Recent Vulnerabilities
• NTP Project ntpd reference implementation contains multiple vulnerabilities, advarsel fra CERT/CC
• Denial of service attacks pour through rift in Network Time Protocol, artikel fra The Register