BLSA-2016:0056 – [中等] ntp 安全警告及修复方法


  • BCLinux Developers

    BLSA-2016:0056 – [中等] ntp 安全警告及修复方法

    问题描述

           最近ntp修复了一系列安全漏洞,攻击者利用这些漏洞可导致ntp服务的崩溃,或者通过广播错误的数据包、发送包含欺骗性源地址的NAK数据包等方式导致客户端时间同步失败。鉴于ntp服务的广泛使用,建议所有使用受影响产品的用户都安装BCLinux提供的的更新补丁。

    NTP简介
         NTP是网络时间协议(Network Time Protocol),它是用来同步网络中各个计算机的时间的协议。它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。NTP可以利用多个途径和来源的时间服务器来更加精确的校正时间。

    影响版本

    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 6
    • CentOS Linux 6

    详细介绍

    • CVE-2015-7979
      当NTP服务设置为广播模式时,远程攻击者可以向所有客户端广播包含虚假认证的数据包,客户端收到这样的恶意数据包时,将中断与广播服务器的连接,使客户端在很长的一段时间内不能进行时间同步。

    • CVE-2016-1547
      远程攻击者通过发送包含欺骗性的源地址的加密NAK数据包到客户端,可以阻止客户端进行时间的同步。

    • CVE-2016-1548
      NTP的一个漏洞可能会使NTP客户端从基本的c/s模式切换到交错对称模式,远程攻击者可以利用虚假数据包导致NTP客户端拒绝以后所有合法的服务器响应,从而有效地禁止用户的时间同步。

    • CVE-2016-1550
      NTP的libntp模块在处理消息认证过程中暴露出一个安全漏洞,远程攻击者可以通过封包认证中的比较函数观察到数据包中的计时,从而可以潜在地恢复摘要信息。

    • CVE-2016-2518
      ntpd进程在处理某些特定的数据包时暴露出越界访问漏洞,经过身份验证的攻击者可以利用这个漏洞,通过伪造数据包建立对等关联,导致ntpd崩溃。

    解决方案

    目前,BCLinux 的官方源已经提供firefox的更新软件包。
    BCLinux 6 用户需要升级到 4.2.6p5-10 版本,BCLinux 7 用户需要升级到 4.2.6p5-22 版本。
    以BCLinux 7用户为例:
    1.检查YUM源设置,确保使用的是 BCLinux 官方 YUM 源

    [root@BCLinux ~]# ls -l /etc/yum.repos.d/
    total 12
    -rw-r--r--. 1 root root  969 Nov 16  2015 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1053 Nov 16  2015 BCLinux-Source.repo
    -rw-r--r--. 1 root root 1184 Nov 16  2015 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update ntp
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package ntp.x86_64 0:4.2.6p5-22.el7.centos.1 will be updated
    ---> Package ntp.x86_64 0:4.2.6p5-22.el7.centos.2 will be an update
    --> Processing Dependency: ntpdate = 4.2.6p5-22.el7.centos.2 for package: ntp-4.2.6p5-22.el7.centos.2.x86_64
    --> Running transaction check
    ---> Package ntpdate.x86_64 0:4.2.6p5-22.el7.centos.1 will be updated
    ---> Package ntpdate.x86_64 0:4.2.6p5-22.el7.centos.2 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    =======================================================================================================================================================================================
     Package                                 Arch                                   Version                                                  Repository                               Size
    =======================================================================================================================================================================================
    Updating:
     ntp                                     x86_64                                 4.2.6p5-22.el7.centos.2                                  updates                                 544 k
    Updating for dependencies:
     ntpdate                                 x86_64                                 4.2.6p5-22.el7.centos.2                                  updates                                  84 k
    
    Transaction Summary
    =======================================================================================================================================================================================
    Upgrade  1 Package (+1 Dependent package)
    
    Total download size: 628 k
    Is this ok [y/d/N]: y    
    

    3.复查

    [root@BCLinux ~]# rpm -qa | grep ntp
    fontpackages-filesystem-1.44-8.el7.noarch
    ntpdate-4.2.6p5-22.el7.centos.2.x86_64
    ntp-4.2.6p5-22.el7.centos.2.x86_64
    

    4.重启服务

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待