使っている方は、お気をお付けください。
記事の末尾に【業務連絡】があります。
時刻同期サービス「ntpd」に重大脆弱性、細工パケット一撃でサーバー乗っ取りも(ITpro)
2014/12/22
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が見つかったことを伝えた。発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、サーバーがいきなり乗っ取られる危険性があるものも含まれている。見つかった脆弱性は四つ。(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が生成される問題、(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い対称鍵を生成する問題、(3)crypto_recv()など三つの関数に、パケット処理に関するバッファオーバーフローの脆弱性が存在する問題(autokey認証利用時)、(4)特定のエラー処理を行うコードに不備があり、エラー発生時に処理が停止しない問題---である。NTPサーバーの管理者が特に注意すべきは(3)のバッファオーバーフローの脆弱性だろう。同脆弱性を突かれると、ntpdを動作させているユーザーの権限で任意のコマンドを実行される危険がある。もしntpdをroot権限で動作させていればシステム上で任意のコマンドを実行される。制限されたユーザー権限(ntpユーザーなど)で動かしている場合でも、Linuxカーネルでつい最近も見つかった権限昇格の脆弱性などを狙われることで、サーバーを乗っ取られる危険性がある。
(後略)
ntpdはLAN内の時刻を同期させるためのサービスですが、これはまた大きな脆弱性のようですね。
今現在は私の運営するサーバがないので特に問題はありませんが、前に稼働させたことがありますし、結構時刻の同期って重要なことだと思うので、いろんなところでしているような気がするんですよね。
これからは、ネットワークの時刻同期がどのようになされているのか、きちんと確認をするようにしていきたいと思います。
【業務連絡】
Wさんへ。
まだサーバを使っているなら、サーバでntpdが動いていると思うので、アップデートした方がいいですね。
rpmコマンドでほとんど自動でしてくれるので、その当たりを調べて貰うか、linuxのメンテを出来る方にお願いするようにしてください。
なんでしたら、私がアップデートしますけど、ウィークデイは出来ないのと、移動時間が掛かるので、そのあたりは考慮してくださいね。
それと、QNAPのアップデートもした方がいいですよ。
それでは、今回はこのへんで。
0 件のコメント:
コメントを投稿