Può CVE-2015-7704 - il bacio di morte di ntpd riguarda i server di tempo NTP o solo i client?

5

Dato che il file ntp.conf su un server linux può essere configurato per consentire al sistema di agire sia come client per i server pubblici che come sorgente del server dell'orario per i sistemi locali, ho ragione a ritenerlo (il "server" ) ha anche bisogno del pacchetto ntpd aggiornato? Tutta la documentazione su questo CVE parla in modo specifico di "clienti".

    
posta user53029 30.10.2015 - 14:23
fonte

2 risposte

2

La vulnerabilità riguarda la possibilità di manipolare il tasso di polling, qualcosa che è rilevante solo per un cliente. link

CVE-2015-7705 è il CVE per il bug che colpisce il server (DOS).

La discussione tecnica completa dei bug si trova qui: link

In risposta alla domanda "strato", devi guardare la definizione dei messaggi KoD:

According to the NTP specification RFC 1305, if the Stratum field in the NTP header is 1, indicating a primary server, the Reference Identifier field contains an ASCII string identifying the particular reference clock type. However, in RFC 1305 nothing is said about the Reference Identifier field if the Stratum field is 0, which is called out as "unspecified". However, if the Stratum field is 0, the Reference Identifier field can be used to convey messages useful for
status reporting and access control. In NTPv4 and SNTPv4, packets of this kind are called Kiss-o'-Death (KoD) packets, and the ASCII messages they convey are called kiss codes. The KoD packets got their name because an early use was to tell clients to stop sending
packets that violate server access controls.

RFC 4330

    
risposta data 30.10.2015 - 16:03
fonte
1

Può influenzare indirettamente i server, dal momento che la maggior parte dei daemon NTP agisce sia come client che come server allo stesso tempo. Per esempio: supponiamo che uno strato 2 (che è un client di server stratum 1) ottenga KoD falsificati per i suoi server di livello 1. L'host di stratum 2 interromperà la sincronizzazione con i suoi server. Quindi, anche i client dello strato 3 che dipendono dall'host dello strato 2 saranno interessati, poiché lo strato 2 non è più sincronizzato.

Quindi l'attacco KoD è sui client. Ma i client agiscono anche da server in NTP, quindi influiscono anche sui server.

    
risposta data 22.02.2016 - 13:56
fonte

Leggi altre domande sui tag