ntpdの脆弱性CVE-2014-9293,9294,9295,9296まとめ

公開日: : 最終更新日:2015/01/20 最新技術 ,

ntpdに4つの脆弱性が見つかりましたね。
そのうちの一つCVE-2014-9295は任意のコードが実行可能とのこと。
対策について結論から言うと「最新版にアップデートしましょう」の一言でおしまいですが、今回はその脆弱性についての情報です。

スポンサーリンク

脆弱性概要

CVE-2014-9293 PRNG における不十分なエントロピー

設定値がデフォルトの(ntp.conf ファイルで auth key が設定されていない)場合、暗号強度が低い鍵が生成される。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9293

CVE-2014-9294 暗号における脆弱な PRNG の使用

4.2.7p230 より前のバージョンの ntp-keygen が、弱いシード値で暗号論的に不適切な乱数生成器を使って、暗号強度が低い対称鍵を生成する。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9294

CVE-2014-9295 スタックバッファオーバーフロー

ntpd の crypto_recv() ※、ctl_putdata()、および configure() に、細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在する。※autokey認証利用時

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9295

CVE-2014-9296 エラー条件、戻り値、状態コードに問題

特定のエラー処理を行うコードに return 式が存在しない箇所が存在するため、エラー発生時に処理が停止しない。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9296

 影響範囲

ntpd 4.2.7以前のバージョン
ntp-keygen 4.2.7p230以前のバージョン

 対策

最新版のntpd 4.2.8 にアップデートする。

http://www.ntp.org/downloads.html

参考

ntp SecurityNotice

AD

この記事が興味深かった場合は、SNSボタンでシェアいただけると嬉しいです。

関連記事

windows-logo

ママ、どうしておうちにサーバーがあるの? Windows Home Server

WindowsHomeServerの販促用の絵本(パンフレット)にこんな物がある。 ママ、どうして

記事を読む

Intel Core i9 が登場ですって。

Intel がCore2シリーズを撤廃して、「Core i3」「Core i5」「Core i7」「

記事を読む

500GBの記録容量「ホログラフィックディスク」

容量はBlu-rayの20倍、ついに500GBの記録容量を実現した「ホログラフィックディスク」登場

記事を読む

予約受付中! 「m-Stickシリーズ MS-NH1 1412MS-NH1」

販売再開しても毎回数分で売り切れてしまう、マウスコンピュータのスティック型PC MS-NH1ですが、

記事を読む

Windows7に決定

なにやらWindows7(仮)がWindows7に決定したみたいですね。 Windows7っていう

記事を読む

Message

メールアドレスが公開されることはありません。

AD

PAGE TOP ↑