パスワードを忘れた? アカウント作成
12562210 story
セキュリティ

NTPで新たな脆弱性が発見される、不正な時刻源と同期される可能性 28

ストーリー by hylom
たかが時刻と思うことなかれ 部門より
あるAnonymous Coward 曰く、

時刻を同期するために広く利用されているNetwork Time Protocol(NTP)に新たな脆弱性「CVE-2015-7871が発見された(ZDNetITmediaNETWORKWORLDSlashdot)。

特定の暗号化されたNAKパケットを送りつけることで認証をバイパスできるというものだそうで(Red Hat Bugzilla)、これにより不正な時刻源に時刻を同期させることができてしまうという。なお、この問題を修正したntpの新版「ntp-4.2.8p4」がすでにリリースされている。

時刻を不正に操作することで、失効したパスワードやアカウントで認証できるようにしたり、TLSクライアントが失効した証明書を受け入れるようにしたり(逆に、有効なはずのものを拒むようにしたり)、証明書ピニングやHTTPSなどの現行のセキュリティ構造を回避したりする悪用例が考えられるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年10月26日 16時15分 (#2906805)

    ちゃんと区別して書いてほしい。
    最新版のntp-4.2.8p3で発見されて、ntp-4.2.8p4で修正されたと。

    • by Anonymous Coward

      実装の脆弱性だったらOpenSSLもたいがいだよな。

      • by Anonymous Coward

        タレコミ段階では存在していたtlsdateのステマが削除されていたのでなんで唐突にOpenSSLが出てきたのか意味不明になってしまった。編集珍しく仕事してるな

    • by Anonymous Coward

      NTPプロトコルだとNetwork Time Protocol Protocolになっちゃうよ

      • 「NTP」は固有名詞と考えた上で、その実装なのかプロトコルなのか何について言及しているのかという点まで盛り込んだ表現としては「NTP protocol」も間違いではないでしょう。実際、NTPを定義しているRFC5905 [ietf.org]でも

        The purpose of the NTP protocol is to convey timekeeping information …

        みたいな表現がされてたりします。

        親コメント
      • by Anonymous Coward

        わかりやすく書こうとしたのでしょうが、
        もともと「ちゃんと区別して書いて欲しい」というツッコミだけに、なんともキレが悪いですね。

      • by Anonymous Coward

        > NTPプロトコルだとNetwork Time Protocol Protocolになっちゃうよ
        日本語の場合はそれで問題はないです。index値とかありなのです。
        日本語なので。

        • by Anonymous Coward

          上にもあるけど英語でも NTP protocol 表記だし、index value だって普通に使われている。
          日本語だからというのは決めつけすぎる。

          ルールなのか実装なのか、値なのかラベルなのか区別するのに一言付け加えるのは言語にかかわらず自然なことでしょ。

        • by Anonymous Coward

          英語でも問題ないよ。日本語だからという決め付けは良くない。
          Arakawa river とか言うでしょ。

  • by yutayu (47019) on 2015年10月26日 20時22分 (#2906944)
  • by Hatris (33732) on 2015年10月26日 16時03分 (#2906799) 日記

    何者かに時計をいじられ、時刻がずれていました。

    そのせいで、遅刻しました。

  • by Anonymous Coward on 2015年10月26日 15時29分 (#2906780)
  • by Anonymous Coward on 2015年10月26日 16時50分 (#2906832)

    それが必要な環境ほどアップデートが遅く、どうでもいい環境ほどアップデートが早い。

    例えばうちのRaspberry Pi 2は、RTCが無い為ntpd必須なのだが、

    $ sudo ntpd --version
    Password:
    ntpd 4.2.6p5
    ntpd 4.2.6p5@1.2349-o Sun Apr 12 22:37:22 UTC 2015 (1)

    この有様。

    一方、どうせなのでクライアントにしてるGentooのntpdは

    $ sudo ntpd --version
    Password:
    ntpd 4.2.8p4@1.3265 Sat Oct 24 02:42:17 UTC 2015 (1)

    このとおり。

    Raspbianには、やる気が全く感じられない。

    • by COCKY (5646) on 2015年10月26日 18時12分 (#2906893)

      タレコミからのリンクされているRedHatのbugzilla読むと

      > The 4.2.6 version of NTP is not vulnerable

      って書いてんですが(全文は長いので省略)。正直なところ、ntpdのどのバージョンが影響を受けるのかがよくわからん。

      親コメント
    • by Anonymous Coward

      自分でアップデートすればいい。

    • by Anonymous Coward

      RTCが必要ならRTC付ければ?
      http://victory7.com/?pid=71440082 [victory7.com]
      1000円で買えるぞ

      • by Anonymous Coward

        本体5000円の環境で1000円は高けぇ。
        ネットに繋がる環境ならntpdがちゃんと機能してりゃ問題ないって考えるとntpdをちゃんとメンテしてくれとなるんじゃないかな。
        # そもそも、最新の機能よりも安定性を求める場合単にバージョン新しけりゃいいってわけでもないんだが

    • by Anonymous Coward

      Raspbianには、やる気が全く感じられない。

      RaspbianってDebianベースですよね。バージョンを見る限り安定版(stable)でしょうか。そのDebianでもまだ修正版が出ていないっぽい。
      https://security-tracker.debian.org/tracker/CVE-2015-7871 [debian.org]

      あと、Debian安定版では、セキュリティ修正をするときはまずバージョンを上げずに直そうとします。ですので、ntpd --versionでは修正されたかわからないかもしれません。パッケージのバージョンで確認してください。

      • by Anonymous Coward

        Debianのstableはstaleだからね

  • by Anonymous Coward on 2015年10月26日 23時08分 (#2907011)

    VineLinuxが修正にどれだけ時間を要するかみんなで予想してみよう!
    俺は1年と見たww

    • by Anonymous Coward on 2015年10月26日 23時37分 (#2907021)

      むしろVineLinuxがまだ更新されていることに驚いたよ

      親コメント
    • by Anonymous Coward

      Vine 6.3ならntp-4.2.6p3-5vl6ってことで余計なことしてなければ修正の必要はないんじゃね?

      • by Anonymous Coward

        どうなんでしょ。
        はっきり書いてないけど、4.2.6は全て問題なしって解釈でいいのかな?

  • by Anonymous Coward on 2015年10月27日 16時00分 (#2907345)

    NTPが制限されてる(というかHTTP/Sしか接続できない)仕事環境だからHTP使ってる。

    htpdate.exe -n -P 10.20.30.40:XXX www.srad.jp
    htpdate.exe -P 10.20.30.40:XXX www.srad.jp

    //誰かHTTPS対応のHTPください><

    • by Anonymous Coward

      そこそこでかいとこなら職場内用NTPサーバを立ててたりするものだけど、そうでもないのかなぁ?

      # 立てても周知が十分ではないとか。
      # 何かあった際に責任取りたくないからor上に説明するのが面倒だから対応しないと云うのもありそう。

    • by Anonymous Coward

      //誰かHTTPS対応のHTPください><

      NICTのWebサービス用ですが、PowerShellで実装している方がいらっしゃるようで。
      (私は動作確認していません)
      http://stknohg.hatenablog.jp/entry/2015/04/28/000909 [hatenablog.jp]

      NICTで公開されているURLは、HTTPSでもつながるようです。

    • by Anonymous Coward

      他のツリーで、タレコミにはtlsdateのステマがあったとかいうけどコレじゃ駄目なんかな。
      TLSのServerHelloメッセージに含まれるタイムスタンプを使うそうだ。
      証明書の検証処理も実行してるんであれば大丈夫…なのかなぁ?
      そのタイムスタンプが認証処理に絡んでいてMITM耐性があるなら、
      その後の証明書確認に成功すればOKと言えそうなんだが。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...