智慧校园与信息化建设中心
设为首页  |  加入收藏
 网站首页  中心概况  规章制度  用户服务  下载专区  青大首页 
内容页
当前位置: 网站首页>>安全公告>>正文
关于NTPD存在多个拒绝服务漏洞的有关情况通报
2016-11-28 00:00   审核人:

近期,国家信息安全漏洞共享平台(CNVD)收录了NTP安全公告中发布的多个拒绝服务漏洞。综合利用上述漏洞,攻击者可向NTPD受影响模块发送特制的数据包,可导致主服务崩溃,形成拒绝服务攻击,有可能对时钟同步网络基础设施造成较大影响。CNCERT第一时间对上述漏洞的相关情况进行了解和分析,具体通报如下:

一、漏洞情况分析

Network Time Protocol(NTP)是用于使计算机时间同步化的一种协议,可使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化。把计算机的时钟同步到世界协调时,以确保网络中的数据交互能够顺利进行。NTPD(Network Time Protocol daemon)是一个操作系统守护进程,使用网络时间协议(NTP)与时间服务器的系统时间保持同步,主要用于主机与主机之间的时间同步。NTP发布安全公告修复了NTPD中存在的多个漏洞,漏洞分析情况如下表:

表1. NTPD中存在多个漏洞信息

CNVD编号

对应CVE

漏洞概述

综合评级

CNVD-2016-11425

CVE-2016-9311

ntpd默认不启用trap,当trap被启用时,攻击者可发送特制的数据包造成空指针解引用,导致ntpd拒绝服务。

中危

CNVD-2016-11424

CVE-2016-9310

ntpd的控制模式(模式6)功能中存在可利用的配置修改漏洞。特制的控制模式可以设置ntpd的trap服务,造成信息泄露和拒绝服务攻击,并可以取消设置ntpd陷阱,禁用合法监控。未经身份验证的远程攻击者可以触发此漏洞。

中危

CNVD-2016-11423

CVE-2016-7427

若攻击者可访问NTP广播域,则可周期性地向广播域中发送精心构造的数据包,迫使nptd从合法的NTP广播服务器发来的广播模式数据包。

中危

CNVD-2016-11428

CVE-2016-7428

ntpd的广播模式轮询间隔执行功能中存在可利用的拒绝服务攻击。接触NTP广播域的攻击者可向NTP广播域中发送精心构造的数据包迫使ntpd丢弃从合法NTP广播服务器发来的广播模式数据包。

中危

CNVD-2016-11429

CVE-2016-9312

ntpd服务程序在处理包含扩展字段的ntp请求包时存在缺陷,当扩展字段超长时,引发ntpd服务处理数据包错误,导致ntpd服务终止。此漏洞仅存在于Windows系统的ntpd服务程序。

高危

CNVD-2016-11430

CVE-2016-7431

4.2.8p6在修复零值原始时间戳的漏洞时引入了对零值原始时间戳检验不当的问题。

低危

CNVD-2016-11427

CVE-2016-7434

若ntpd被配置为接收mrulist查询请求,攻击者则可以发送一个精心构造的mrulist查询请求包,导致ntpd崩溃,造成拒绝服务。

低危

CNVD-2016-11426

CVE-2016-7429

如果ntpd运行于在不同网络使用多重接口的主机上,且操作系统对收到的数据包并不检查来源地址的情况下,攻击者可以伪造数据包的源地址,导致ntpd无法和正确数据源同步。

低危

CNVD-2016-11431

CVE-2016-7426

在ntpd启用速率限定的情况下,攻击者可周期性地发送带有伪造源地址的数据包,阻止ntpd接收有效的nptd响应包。

低危

CNVD-2016-11432

CVE-2016-7433

先前对编号为NTP Bug 2085的bug修复不正确,相关计算有误。Bug 2085引起的问题是时基误差高于所期望的值。

低危

二、漏洞影响范围

根据CNVD技术组成员单位——绿盟科技公司提供的监测数据。目前受到漏洞影响的NTP服务器IP数量达到21.4万个。其中,数量最多的国家是加拿大(占24.6%),其次韩国(20.1%),第三是美国(16.8%),其余数量较多的国家分别是俄罗斯联邦、中国、巴西、日本、英国、德国、法国等。中国大陆地区及港澳台地区受此漏洞影响的服务器IP数量超过1.3万台;其中,台湾地区、江苏省、北京市、香港地区等省份和地区数量较多。

三、漏洞修复建议

目前,厂商已发布了升级版本修复该上述漏洞。但是,互联网上已经披露漏洞攻击利用代码,互联网服务提供商和相关用户应参照表2所示及时升级到最新版本。

表2. 漏洞影响版本情况

漏洞编号

受影响版本

不受影响版本

CVE-2016-9311

4.0.90

4.3.0

4.2.8p9;4.3.94

CVE-2016-9310

4.0.90

4.3.0

4.2.8p9;4.3.94

CVE-2016-7427

4.2.8p6

4.3.0

4.2.8p9;4.3.94

CVE-2016-7428

4.2.8p6

4.3.0

4.2.8p9;4.3.94

CVE-2016-9312

nptd

4.3.0

4.2.8p9;4.3.94

CVE-2016-7431

4.2.8p8;4.3.93

4.2.8p9;4.3.94

CVE-2016-7434

4.2.7p22

4.3.0

4.2.8p9;4.3.94

CVE-2016-7429

4.2.7p385

4.3.0

4.2.8p9;4.3.94

CVE-2016-7426

4.2.5p203

4.3.0

4.2.8p9;4.3.94

CVE-2016-7433

4.2.7p385

4.3.0

4.2.8p9;4.3.94

CNCERT 将继续跟踪事件后续情况。同时,请国内相关单位做好信息系统应用情况排查工作,如需技术支援,请联系 CNCERT。电子邮箱: cncert@cert.org.cn,联系电话: 010-82990999。

关闭窗口

青岛大学智慧校园与信息化建设中心     版权所有