NTP lukker to huller

Artiklen blev oprindeligt publiceret den 9/4/2015

To mindre alvorlige sikkerhedshuller i tidssynkroniseringssystemet NTP (Network Time Protocol) er lukket. Fejlene findes i serverprogrammet NTPD.

Det ene hul gør det muligt at omgå et sikkerhedstjek. Hvis en NTP-server er sat op til at autentificere med en anden server, sker det ved at tjekke en kode. Men hvis der ikke er nogen kode i datapakkerne, bliver forbindelsen alligevel godkendt.

Den anden sårbarhed giver angribere mulighed for at udføre et DoS-angreb, der forhindrer to servere i at kommunikere med hinanden.

Fejlene er rettet i NTPD 4.2.8p2.

Anbefaling
Opdater til NTPD 4.2.8p2.

Links