情報源
US-CERT Vulnerability Note VU#853097
ntpd autokey stack buffer overflow
http://www.kb.cert.org/vuls/id/853097
DOE-CIRC Technical Bulletin T-138
NTP 'ntpd' Autokey and ntpq Stack Buffer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-138.shtml
概要
ntpd には、バッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が細工したパケットを処理させることで、ntpd を実行す
るユーザの権限で任意のコードを実行する可能性があります。なお、こ
の問題は、ntpd が OpenSSL サポート付きでコンパイルされ、autokey
が有効な場合にのみ影響します。
対象となるバージョンは以下の通りです。
- NTP 4.2.4p7 より前のバージョン
- NTP 4.2.5p74 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに ntpd を更新することで解決します。詳細については、ベ
ンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#853097
ntpd autokey におけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU853097/index.html
関連文書 (英語)
ntp.org
NTP Software Downloads
http://www.ntp.org/downloads.html
ntp.org
Security Notice
http://support.ntp.org/bin/view/Main/SecurityNotice#Remote_exploit_if_autokey_is_ena
Red Hat Security Advisory RHSA-2009:1039-1
Important: ntp security update
https://rhn.redhat.com/errata/RHSA-2009-1039.html
Red Hat Security Advisory RHSA-2009:1040-1
Critical: ntp security update
https://rhn.redhat.com/errata/RHSA-2009-1040.html
Debian Security Advisory DSA-1801-1
ntp -- buffer overflows
http://www.debian.org/security/2009/dsa-1801
