NTPで新たな脆弱性が発見される、不正な時刻源と同期される可能性 28
ストーリー by hylom
たかが時刻と思うことなかれ 部門より
たかが時刻と思うことなかれ 部門より
あるAnonymous Coward 曰く、
時刻を同期するために広く利用されているNetwork Time Protocol(NTP)に新たな脆弱性「CVE-2015-7871が発見された(ZDNet、ITmedia、NETWORKWORLD、Slashdot)。
特定の暗号化されたNAKパケットを送りつけることで認証をバイパスできるというものだそうで(Red Hat Bugzilla)、これにより不正な時刻源に時刻を同期させることができてしまうという。なお、この問題を修正したntpの新版「ntp-4.2.8p4」がすでにリリースされている。
時刻を不正に操作することで、失効したパスワードやアカウントで認証できるようにしたり、TLSクライアントが失効した証明書を受け入れるようにしたり(逆に、有効なはずのものを拒むようにしたり)、証明書ピニングやHTTPSなどの現行のセキュリティ構造を回避したりする悪用例が考えられるという。
NTPプロトコルじゃなくて、実装であるntpdの脆弱性だよね? (スコア:5, 参考になる)
ちゃんと区別して書いてほしい。
最新版のntp-4.2.8p3で発見されて、ntp-4.2.8p4で修正されたと。
Re: (スコア:0)
実装の脆弱性だったらOpenSSLもたいがいだよな。
Re: (スコア:0)
タレコミ段階では存在していたtlsdateのステマが削除されていたのでなんで唐突にOpenSSLが出てきたのか意味不明になってしまった。編集珍しく仕事してるな
Re: (スコア:0)
NTPプロトコルだとNetwork Time Protocol Protocolになっちゃうよ
Re:NTPプロトコルじゃなくて、実装であるntpdの脆弱性だよね? (スコア:1)
「NTP」は固有名詞と考えた上で、その実装なのかプロトコルなのか何について言及しているのかという点まで盛り込んだ表現としては「NTP protocol」も間違いではないでしょう。実際、NTPを定義しているRFC5905 [ietf.org]でも
みたいな表現がされてたりします。
Re: (スコア:0)
わかりやすく書こうとしたのでしょうが、
もともと「ちゃんと区別して書いて欲しい」というツッコミだけに、なんともキレが悪いですね。
Re: (スコア:0)
> NTPプロトコルだとNetwork Time Protocol Protocolになっちゃうよ
日本語の場合はそれで問題はないです。index値とかありなのです。
日本語なので。
Re: (スコア:0)
上にもあるけど英語でも NTP protocol 表記だし、index value だって普通に使われている。
日本語だからというのは決めつけすぎる。
ルールなのか実装なのか、値なのかラベルなのか区別するのに一言付け加えるのは言語にかかわらず自然なことでしょ。
Re: (スコア:0)
英語でも問題ないよ。日本語だからという決め付けは良くない。
Arakawa river とか言うでしょ。
chronydが代替ですよ。 (スコア:3, 参考になる)
Re:chronydが代替ですよ。 (スコア:1)
みんな大好きsystemdは“timesyncd”を提供していますよ。
どのページを紹介していいか決められないので、ArchWikiから1つ。
https://wiki.archlinuxjp.org/index.php/Systemd-timesyncd [archlinuxjp.org]
え? 時計が!? (スコア:1)
何者かに時計をいじられ、時刻がずれていました。
そのせいで、遅刻しました。
NAK to the Future (スコア:0)
NAK to the Future: NTP Symmetric Association Authentication Bypass Vulnerability [talosintel.com]
面白い。
いつも思うんだが (スコア:0)
それが必要な環境ほどアップデートが遅く、どうでもいい環境ほどアップデートが早い。
例えばうちのRaspberry Pi 2は、RTCが無い為ntpd必須なのだが、
この有様。
一方、どうせなのでクライアントにしてるGentooのntpdは
このとおり。
Raspbianには、やる気が全く感じられない。
Re:いつも思うんだが (スコア:1)
タレコミからのリンクされているRedHatのbugzilla読むと
> The 4.2.6 version of NTP is not vulnerable
って書いてんですが(全文は長いので省略)。正直なところ、ntpdのどのバージョンが影響を受けるのかがよくわからん。
Re: (スコア:0)
自分でアップデートすればいい。
Re: (スコア:0)
RTCが必要ならRTC付ければ?
http://victory7.com/?pid=71440082 [victory7.com]
1000円で買えるぞ
Re: (スコア:0)
本体5000円の環境で1000円は高けぇ。
ネットに繋がる環境ならntpdがちゃんと機能してりゃ問題ないって考えるとntpdをちゃんとメンテしてくれとなるんじゃないかな。
# そもそも、最新の機能よりも安定性を求める場合単にバージョン新しけりゃいいってわけでもないんだが
Re: (スコア:0)
Raspbianには、やる気が全く感じられない。
RaspbianってDebianベースですよね。バージョンを見る限り安定版(stable)でしょうか。そのDebianでもまだ修正版が出ていないっぽい。
https://security-tracker.debian.org/tracker/CVE-2015-7871 [debian.org]
あと、Debian安定版では、セキュリティ修正をするときはまずバージョンを上げずに直そうとします。ですので、ntpd --versionでは修正されたかわからないかもしれません。パッケージのバージョンで確認してください。
Re: (スコア:0)
Debianのstableはstaleだからね
さて (スコア:0)
VineLinuxが修正にどれだけ時間を要するかみんなで予想してみよう!
俺は1年と見たww
Re:さて (スコア:1)
むしろVineLinuxがまだ更新されていることに驚いたよ
Re: (スコア:0)
Vine 6.3ならntp-4.2.6p3-5vl6ってことで余計なことしてなければ修正の必要はないんじゃね?
Re: (スコア:0)
どうなんでしょ。
はっきり書いてないけど、4.2.6は全て問題なしって解釈でいいのかな?
HTP (スコア:0)
NTPが制限されてる(というかHTTP/Sしか接続できない)仕事環境だからHTP使ってる。
htpdate.exe -n -P 10.20.30.40:XXX www.srad.jp
htpdate.exe -P 10.20.30.40:XXX www.srad.jp
//誰かHTTPS対応のHTPください><
Re: (スコア:0)
そこそこでかいとこなら職場内用NTPサーバを立ててたりするものだけど、そうでもないのかなぁ?
# 立てても周知が十分ではないとか。
# 何かあった際に責任取りたくないからor上に説明するのが面倒だから対応しないと云うのもありそう。
Re: (スコア:0)
//誰かHTTPS対応のHTPください><
NICTのWebサービス用ですが、PowerShellで実装している方がいらっしゃるようで。
(私は動作確認していません)
http://stknohg.hatenablog.jp/entry/2015/04/28/000909 [hatenablog.jp]
NICTで公開されているURLは、HTTPSでもつながるようです。
Re: (スコア:0)
他のツリーで、タレコミにはtlsdateのステマがあったとかいうけどコレじゃ駄目なんかな。
TLSのServerHelloメッセージに含まれるタイムスタンプを使うそうだ。
証明書の検証処理も実行してるんであれば大丈夫…なのかなぁ?
そのタイムスタンプが認証処理に絡んでいてMITM耐性があるなら、
その後の証明書確認に成功すればOKと言えそうなんだが。