セキュリティ情報:
「NTP(VU#852879)に関する脆弱性」のご報告

掲載日：2015/02/10

1.出典

US-CERT Vulnerability Note VU# 852879
Date: December 19, 2014
Topic: Network Time Protocol (NTP) Project NTP daemon (ntpd) contains multiple vulnerabilities

• http://www.kb.cert.org/vuls/id/852879/(新規ウインドウが開きます)

JP-CERT

• http://jvn.jp/cert/JVNVU96605606/(新規ウインドウが開きます)

2.概要

NTP機能において、複数の脆弱性が報告されました。

3.影響

本脆弱性には、次の6つの脆弱性が含まれています。

• CVE-2014-9293: Insufficient Entropy in Pseudo-Random Number Generator (PRNG)
• CVE-2014-9294: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)
• CVE-2014-9295: Stack Buffer Overflow
• CVE-2014-9296: Error Conditions, Return Values, Status Codes
• CVE-2014-9297: Improper Check for Unusual or Exceptional Conditions
• CVE-2014-9298: Authentication Bypass by Spoofing

(それぞれの影響内容につきましては、【出典】を参照いただきますようお願いします。)

GR/GSシリーズではGR2000、GR4000、GS3000、GS4000にてNTP機能を使用すると、
CVE-2014-9293とCVE-2014-9295の2つの脆弱性の影響を受けます。

4.回避方法

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
また、コンフィグレーションにて以下2つの設定をおこなうことで、CVE-2014-9295の脆弱性を回避できます。

　ntp restrict 0.0.0.0 noquery
　ntp restrict 127.0.0.1

本設定をおこなっても、NTP機能は継続して運用可能です。

セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがありますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

• ページの先頭へ