Vulnerabilità NTP
Vulnerabilità di tipo DOS in NTP.
Meinberg ha già provveduto ad includere la nuova release NTP nell'utlima versione stabile del firmware e testarne il funzionamento. E' consigliato aggiornare il firmware a questa versione.
LTOS Version 6.24.021: [2019-03-11]
- new: ntp-4.2.8p13 [8099]
Il download è disponibile gratutiamente per tutti i clienti al seguente link: https://www.meinbergglobal.com/english/sw/firmware.htm
Articolo tratto da Cert Nazionale Italia
NTP (Network Time Protocol) è un protocollo distribuito per la sincronizzazione degli orologi interni dei computer basato principalmente su un’architettura client-server.
È stata scoperta una vulnerabilità di media gravità (CVE-2019-8936) nell’implementazione di riferimento di NTP (ntpd), nelle versioni precedenti alla 4.2.8p13.
La vulnerabilità è legata ad un errore di tipo NULL pointer dereference che causa, in determinate circostanze, il crash di ntpd. Un attaccante in grado di inviare un pacchetto autenticato mode 6 appositamente predisposto da una sorgente attendibile mediante il comando ntpq potrebbe innescare l’errore e causare una condizione di denial of service sul sistema bersaglio.
Questa vulnerabilità è stata risolta in NTP versione 4.2.8p13. Si raccomanda di installare l’aggiornamento relativo alla propria piattaforma al più presto, dopo opportuno testing.
Per maggiori informazioni sulla vulnerabilità e sugli aggiornamenti disponibili si raccomanda di consultare il relativo bollettino di sicurezza di NTP.org.
Per ulteriori informazioni è possibile consultare le seguenti fonti esterne (in Inglese):
