De multiples failles de sécurité ont été identifiées et comblées dans ntp (le logiciel de ntp.org, pas le protocole NTP en général) ces derniers jours. Il s'agit de plusieurs failles avec notamment :
- deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code avec les privilèges du processus ntpd lancé ;
- d'une faiblesse dans la génération des clés, il est donc conseillé de recréer ces dernières après la mise à jour dans certains cas.
Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur ntpd, mais il est préférable d'être prévenu :)
Cette faille a été identifiée et nommée CVE-2014-9295. Elle concerne toutes les versions de ntp jusqu'à la 4.2.7 et la version corrective 4.2.8 est parue le 18 décembre 2014.
NdM : il existe d'autres logiciels libres pouvant servir pour la synchronisation NTP, comme openntpd (non vulnérable) issu d'OpenBSD, Ntimed (client uniquement) sponsorisé par la Linux Foundation, chrony, etc.
Aller plus loin
- Journal à l'origine de la dépêche (250 clics)
- Plus de détails (181 clics)
- Sur la liste de diffusion Debian Security (129 clics)
# Origine ?
Posté par Yannick (site web personnel) . Évalué à 2.
J'ai une petite question : Ces failles ont-elles été trouvées dans le cadre des audits lancées après l'affaire Heartbleed sur OpenSSL ?
# quelle implem ? quelle version ?
Posté par LoloB . Évalué à 2.
j'ai surtout du mal à comprendre : quelles applications sont touchées ? car il y a plusieurs implantations de NTP. Lesquelles sont sensibles ? quelle version ?
Exemple : ntpd est-il touché ? openntp ?
[^] # Re: quelle implem ? quelle version ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Précisions ajoutées.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.