【注意喚起・早期警戒情報】ntpdのサービス運用妨害の脆弱性について
NTP Project が提供する ntpd についての脆弱性情報です。
※ntpdは、サーバの時刻を正しい時刻で同期させるソフトウェアです。
【注意】対象はntpdをサーバで使用しているシステム担当者向け情報になります。
--------------------------------------------------------------
●概要
- NTP Projectが提供するntpdには、サービス運用妨害 (DoS) の原因となる脆弱性が存在します。
- NTP Projectから脆弱性を修正したバージョンのntpdが公開されています。
●脅威
- この脆弱性を悪用された場合、ntpdが停止する可能性があります。
●対処方法
- NTP Projectが公開した修正バージョンのntpdを適用を実施するか、各ディストリビューションベンダーからリリースされる更新の情報を参照してください。
NTP Bug 3082: read_mru_list() does inadequate incoming packet checks
http://support.ntp.org/bin/view/Main/NtpBug3082
各組織で運用しているサーバやネットワーク機器にntpdが組み込まれている可能性も考えられます。
運用しているサーバやネットワーク機器で影響を受けるバージョンのntpdが稼働しているかを確認し、○対処方針の(対策) および(回避策)を参考に対処を行うことを推奨します。
(回避策)
- ファイアウォールや ntpd の設定 (ntp.conf) などで、信頼できるネットワークやホストからのみのクエリを許可するようにアクセスを制限する
ntp.conf の設定例 (IPv4 の場合):
restrict -4 default ignore
restrict {許可するネットワークアドレス} mask {サブネットマスク} notrust
また、十分な検証を実施の上、mrulistクエリを含むサーバの設定や状態の確認・変更に使用されるパケットを受け付けないように制限するすることも検討してください。
ntp.conf の設定例:
restrict {許可するネットワークアドレス} mask {サブネットマスク} notrust noquery
Access Control Commands and Options
https://www.eecis.udel.edu/~mills/ntp/html/accopt.html#restrict
なお、yum や apt-get などのパッケージ管理システムを使用して ntpd のインストールを行った場合は、デフォルトでは ntpd が稼働しているホスト自身 (ループバックアドレス) のみに制限されている可能性があります。
その他の回避策については、以下の情報を参考にしてください。
NTP Project
NTP Bug 3082: read_mru_list() does inadequate incoming packet checks
http://support.ntp.org/bin/view/Main/NtpBug3082
ディストリビュータが提供している ntpd をお使いの場合は、ディストリビュータからの情報を参照してください。
(参考情報)
NTP Project
NTP Bug 3082: read_mru_list() does inadequate incoming packet checks
http://support.ntp.org/bin/view/Main/NtpBug3082
NTP Project
November 2016 ntp-4.2.8p9 NTP Security Vulnerability Announcement (HIGH for Windows, MEDUIM otherwise)
http://support.ntp.org/bin/view/Main/SecurityNotice#November_2016_ntp_4_2_8p9_NTP_Se
Japan Vulnerability Notes
JVNVU#99531229: NTP.org の ntpd に複数の脆弱性
https://jvn.jp/vu/JVNVU99531229/
