ntpdの脆弱性CVE-2014-9293,9294,9295,9296まとめ
ntpdに4つの脆弱性が見つかりましたね。
そのうちの一つCVE-2014-9295は任意のコードが実行可能とのこと。
対策について結論から言うと「最新版にアップデートしましょう」の一言でおしまいですが、今回はその脆弱性についての情報です。
目次
脆弱性概要
CVE-2014-9293 PRNG における不十分なエントロピー
設定値がデフォルトの(ntp.conf ファイルで auth key が設定されていない)場合、暗号強度が低い鍵が生成される。
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9293
CVE-2014-9294 暗号における脆弱な PRNG の使用
4.2.7p230 より前のバージョンの ntp-keygen が、弱いシード値で暗号論的に不適切な乱数生成器を使って、暗号強度が低い対称鍵を生成する。
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9294
CVE-2014-9295 スタックバッファオーバーフロー
ntpd の crypto_recv() ※、ctl_putdata()、および configure() に、細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在する。※autokey認証利用時
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9295
CVE-2014-9296 エラー条件、戻り値、状態コードに問題
特定のエラー処理を行うコードに return 式が存在しない箇所が存在するため、エラー発生時に処理が停止しない。
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9296
影響範囲
ntpd 4.2.7以前のバージョン
ntp-keygen 4.2.7p230以前のバージョン
対策
最新版のntpd 4.2.8 にアップデートする。
http://www.ntp.org/downloads.html
参考
AD
関連記事
-
-
今流行りのDockerとは
巷でDockerが流行っているようですので調べてみました。 Dockerの公式サイトはこちらね⇒h
-
-
マイクロソフトがカタカナ用語末尾の長音表記を変更!?
「マイコンピュータ」が「マイコンピューター」に? マイクロソフトが表記ルールを変更 http://t
-
予約受付中! 「m-Stickシリーズ MS-NH1 1412MS-NH1」
販売再開しても毎回数分で売り切れてしまう、マウスコンピュータのスティック型PC MS-NH1ですが、
-
スティック型PC 「m-Stickシリーズ MS-NH1」
スティック型PC 「m-Stickシリーズ MS-NH1」というものがマウスコンピュータから発売され
-
-
glibcの脆弱性 CVE-2015-0235 GHOST まとめ
今朝起きたらRedHat社から、CVE-2015-0235 GHOSTの脆弱性が判明したからすぐに対
