ntpの脆弱性について

JPCERT

JPCERT よりntpの脆弱性情報が発表されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。

概要

NTP.org が提供する Network Time Protocol daemon (ntpd) には複数の脆弱性が存在します。

影響を受けるシステム

4.2.8p9 より前のバージョンの ntp-4 系

詳細情報

  • NTP Bug 3119 NULL ポインタ参照 (CWE-476) - CVE-2016-9311
  • NTP Bug 3118 無制限なリソース消費 (CWE-400) - CVE-2016-9310
  • NTP Bug 3114 無制限なリソース消費 (CWE-400) - CVE-2016-7427
  • NTP Bug 3113 無制限なリソース消費 (CWE-400) - CVE-2016-7428
  • NTP Bug 3110 不十分なリソースプール (CWE-410) - CVE-2016-9312
  • NTP Bug 3102 不適切な入力確認 (CWE-20) - CVE-2016-7431
  • NTP Bug 3082 不適切な入力確認 (CWE-20) - CVE-2016-7434
  • NTP Bug 3072 同一ポートに複数のソケットをバインドする問題 (CWE-605) - CVE-2016-7429
  • NTP Bug 3071 不十分なリソースプール (CWE-410) - CVE-2016-7426
  • NTP Bug 3067 計算の誤り (CWE-682) - CVE-2016-7433

想定される影響

遠隔の第三者によってサービス運用妨害 (DoS) 攻撃を受けるなどの可能性があります。

対策方法

アップデートする

  • 本脆弱性を修正した ntp-4.2.8p9 がリリースされています。
    NTP Project が提供する情報をもとに、最新版へアップデートしてください。
  • アクセスを制限する
    mode 6 のクエリは信頼できるネットワークやホストからのみ許可してください。
    この制限は ntp.conf で設定できます ("restrict default noquery ...")。

備考

最終更新日

2016.12.08

公開日

2016.12.08

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)