Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 8 (08.01.2015):
Citrix teilt mit, dass NTP per Voreinstellung zwar für NetScaler
deaktiviert sei, jedoch im Falle, dass Kunden NTP für ihre Appliances
aktiviert haben, diese wahrscheinlich verwundbar seien. Während die
Analysen noch andauern, empfiehlt Citrix seinen Kunden Maßnahmen zur
Verminderung des Risikos.
Version 7 (29.12.2014):
Für SUSE Linux Enterprise Server 11 SP1 LTSS steht ein Sicherheitsupdate
zur Behebung der Schwachstelle CVE-2014-9295 bereit.
Version 6 (24.12.2014):
F5 Networks informiert über die Verwundbarkeit aller Big-IP PSM Versionen
bezüglich der NTP-Schwachstellen mit Ausnahme der Schwachstelle
CVE-2014-9296, die in den F5 Produkten nicht vorhanden ist.
FreeBSD stellt Sicherheitsupdates für alle derzeit unterstützten FreeBSD
Versionen zur Verfügung, welche die vier Schwachstellen adressieren.
Sophos informiert über die Verwundbarkeit der Produkte Email Appliance,
Web Appliance und UTM (Versionen v8.X, v9.X). Die Analysen sind noch nicht
abgeschlossen und es stehen keine Sicherheitsupdates bereit. Aktualisierte
Informationen werden von Sophos über die angegebene Referenz verfügbar
gemacht.
Für SUSE Linux Enterprise Desktop 12 und SUSE Linux Enterprise Server 12
stehen Sicherheitsupdates zur Behebung der Schwachstellen CVE-2014-9295
und CVE-2014-9296 bereit. Und für SUSE Linux Enterprise Server 10 SP4 LTSS
steht ein Sicherheitsupdate für xntp, welches die Schwachstelle
CVE-2014-9295 adressiert, zur Verfügung.
Version 5 (23.12.2014):
Apple stellt für OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 und OS
X Yosemite v10.10.1 Sicherheitsupdates zur Behebung der NTP-Schwachstelle
CVE-2014-9295 zur Verfügung. Die gleiche Schwachstelle wird von den SUSE
Linux Enterprise 11 Sicherheitsupdates für die Produkte Server SP3, Server
SP3 für VMware, Server SP2 LTSS und Desktop SP3 adressiert.
Version 4 (22.12.2014):
Cisco teilt über das Advisory cisco-sa-20141222-ntpd mit, welche seiner
Produkte von den NTP-Schwachstellen betroffen sind. Das Advisory wird von
Cisco fortlaufend aktualisiert, sobald neue Informationen, Workarounds
oder Patches verfügbar sind.
Version 3 (22.12.2014):
Canonical stellt für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS,
Ubuntu 12.04 LTS und Ubuntu 10.04 LTS Sicherheitsupdates zur Behebung
aller vier Schwachstellen zur Verfügung.
Version 2 (22.12.2014):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate zur
Verfügung.
Version 1 (22.12.2014):
Neues Advisory
Betroffene Software:
NTP <= 4.2.7
Betroffene Plattformen:
NetScaler Gateway
NetScaler Application Delivery Controller
F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
Sophos Email Appliance
Sophos UTM
Sophos Web Appliance
Apple Mac OS X 10.8.5
Apple Mac OS X 10.9.5
Apple Mac OS X 10.10.1
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Debian Linux 7.7 Wheezy
FreeBSD <= 8.4-STABLE
FreeBSD < 8.4-RELEASE-p21
FreeBSD < 9.1-RELEASE-p24
FreeBSD < 9.2-RELEASE-p17
FreeBSD <= 9.3-STABLE
FreeBSD < 9.3-RELEASE-p7
FreeBSD < 10.0-RELEASE-p15
FreeBSD <= 10.1-STABLE
FreeBSD < 10.1-RELEASE-p3
openSUSE 12.3
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 10 SP4 LTSS
SUSE Linux Enterprise Server 11 SP1 LTSS
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 12
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 5
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.6.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21
Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht
authentifizierter Angreifer Sicherheitsvorkehrungen umgehen und in einem
Falle beliebigen Programmcode zur Ausführung bringen. Für zahlreiche
Linux-Distributionen werden bereits aktualisierte Pakete von NTP 4.2.6
bereitgestellt. Für Fedora 19, 20 und 21, Debian Wheezy sowie für
verschiedene Red Hat Enterprise Linux 6 und 7 Produkte werden hierdurch
jeweils alle Schwachstellen behoben. Für Red Hat Enterprise Linux (v. 5
Server), Desktop (v. 5 Client) wird die Schwachstelle CVE-2014-9296 nicht
adressiert und für openSUSE 13.2, 13.1 und 12.3 werden nur die
Schwachstellen CVE-2014-9295 und CVE-2014-9296 adressiert.
Update 1: Canonical stellt für die Distributionen Ubuntu 14.10, Ubuntu 14.04
LTS, Ubuntu 12.04 LTS und Ubuntu 10.04 LTS Sicherheitsupdates zur Behebung
aller vier Schwachstellen zur Verfügung.
Update 2: Cisco teilt über das Advisory cisco-sa-20141222-ntpd mit, welche
seiner Produkte von den NTP-Schwachstellen betroffen sind. Das Advisory wird
von Cisco fortlaufend aktualisiert, sobald neue Informationen, Workarounds
oder Patches verfügbar sind.
Apple stellt für OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 und OS X
Yosemite v10.10.1 Sicherheitsupdates zur Behebung der NTP-Schwachstelle
CVE-2014-9295 zur Verfügung. Die gleiche Schwachstelle wird von den SUSE
Linux Enterprise 11 Sicherheitsupdates für die Produkte Server SP3, Server
SP3 für VMware, Server SP2 LTSS und Desktop SP3 adressiert.
Update 3: F5 Networks informiert über die Verwundbarkeit aller Big-IP PSM
Versionen bezüglich der NTP-Schwachstellen mit Ausnahme der Schwachstelle
CVE-2014-9296, die in den F5 Produkten nicht vorhanden ist.
FreeBSD stellt Sicherheitsupdates für alle derzeit unterstützten FreeBSD
Versionen zur Verfügung, welche die vier Schwachstellen adressieren.
Sophos informiert über die Verwundbarkeit der Produkte Email Appliance, Web
Appliance und UTM (Versionen v8.X, v9.X). Die Analysen sind noch nicht
abgeschlossen und es stehen keine Sicherheitsupdates bereit. Aktualisierte
Informationen werden von Sophos über die angegebene Referenz verfügbar
gemacht.
Für SUSE Linux Enterprise Desktop 12 und SUSE Linux Enterprise Server 12
stehen Sicherheitsupdates zur Behebung der Schwachstellen CVE-2014-9295 und
CVE-2014-9296 bereit. Und für SUSE Linux Enterprise Server 10 SP4 LTSS steht
ein Sicherheitsupdate für xntp, welches die Schwachstelle CVE-2014-9295
adressiert, zur Verfügung.
Update 4: Für SUSE Linux Enterprise Server 11 SP1 LTSS steht ein
Sicherheitsupdate zur Behebung der Schwachstelle CVE-2014-9295 bereit.
Update 5: Citrix teilt mit, dass NTP per Voreinstellung zwar für NetScaler
deaktiviert sei, jedoch im Falle, dass Kunden NTP für ihre Appliances
aktiviert haben, diese wahrscheinlich verwundbar seien. Während die Analysen
noch andauern, empfiehlt Citrix seinen Kunden Maßnahmen zur Verminderung des
Risikos (siehe Workaround).
Workaround:
Als eine vorläufige Maßnahme zur Verminderung des Risikos für Anwendungen
von NetScaler, die NTP benötigen, empfiehlt Citrix seinen Kunden folgende
Konfiguration:
Hinzufügen folgender Zeilen in der NetScaler ntp.conf-Datei in /etc:
restrict -4 default notrap nopeer nomodify noquery
restrict -6 default notrap nopeer nomodify noquery
Ferner sollten auch alle anderen 'restrict'-Direktiven daraufhin geprüft
werden, dass diese 'nomodify' und 'noquery' enthalten und die Datei keine
'crypto'-Direktiven enthält.
Danach muss die Datei gesichert und in das Verzeichnis /nsconfig kopiert
werden. Anschließen muss der NTP-Dienst neu gestartet werden, um die
Änderungen zu übernehmen.
Hinweis: Die Maßnahmen sollten zunächst in einer Testumgebungen geprüft
werden.
Patch:
Cisco Security Advisory cisco-sa-20141222-ntpd
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141222-ntpd
Patch:
Fedora Security Update FEDORA-2014-17361
https://admin.fedoraproject.org/updates/FEDORA-2014-17361/ntp-4.2.6p5-19.fc20
Patch:
Fedora Security Update FEDORA-2014-17367
https://admin.fedoraproject.org/updates/FEDORA-2014-17367/ntp-4.2.6p5-25.fc21
Patch:
Fedora Security Update FEDORA-2014-17395
https://admin.fedoraproject.org/updates/FEDORA-2014-17395/ntp-4.2.6p5-13.fc19
Patch:
Red Hat Security Advisory RHSA-2014:2024
http://rhn.redhat.com/errata/RHSA-2014-2024.html
Patch:
Red Hat Security Advisory RHSA-2014:2025
http://rhn.redhat.com/errata/RHSA-2014-2025.html
Patch:
Ubuntu Security Notice USN-2449-1
http://www.ubuntu.com/usn/usn-2449-1/
Patch:
openSUSE Security Update openSUSE-SU-2014:1670-1
http://lists.opensuse.org/opensuse-updates/2014-12/msg00075.html
Patch:
Apple Security Advisory APPLE-SA-2014-12-22-1
http://prod.lists.apple.com/archives/security-announce/2014/Dec/msg00005.html
Patch:
Debian Security Advisory DSA-3108-1
https://www.debian.org/security/2014/dsa-3108
Patch:
Download OS X Mavericks NTP Security Update
http://support.apple.com/kb/DL1783?viewlocale=en_US&locale=en_US
Patch:
Download OS X Mountain Lion NTP Security Update
http://support.apple.com/kb/DL1781?viewlocale=en_US&locale=en_US
Patch:
Download OS X Yosemite NTP Security Update
http://support.apple.com/kb/DL1782?viewlocale=en_US&locale=en_US
Patch:
SUSE Security Update SUSE-SU-2014:1686-1
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00025.html
Patch:
F5 Networks Security Advisory sol15933
http://support.f5.com/kb/en-us/solutions/public/15000/900/sol15933.html?ref=rss
Patch:
FreeBSD Security Advisory FreeBSD-SA-14%3A31.ntp
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A31.ntp.asc
Patch:
SUSE Security Update SUSE-SU-2014:1686-2
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00031.html
Patch:
SUSE Security Update SUSE-SU-2014:1690-1
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00026.html
Patch:
Sophos Security Advisory 121788
https://www.sophos.com/en-us/support/knowledgebase/121788.aspx
Patch:
SUSE Security Update SUSE-SU-2014:1686-3
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00034.html
Patch:
Citrix Security Advisory CTX200355
http://support.citrix.com/article/CTX200355
CVE-2014-9296: Schwachstelle in NTP erlaubt Umgehen von
Sicherheitsvorkehrungen
Die Funktion “receive” in ntp_proto.c in “ntpd” (NTP-Daemon) in NTP bevor
4.2.8 arbeitet auch nach dem Auftreten eines bestimmten
Authentifikationsfehlers weiter. Ein entfernter, nicht authentifizierter
Angreifer kann die Schwachstelle ausnutzen, mittels präparierter Pakete, um
einen unbeabsichtigten Assoziationswechsel auszulösen und dadurch den
NTP-Authentifikationsmechanismus zu umgehen.
CVE-2014-9295: Stack-Pufferüberlauf-Schwachstelle erlaubt Ausführen
beliebigen Programmcodes
Mehrere stack-basierte Pufferspeicherüberläufe können in ntpd (NTP-Daemon)
in NTP bevor 4.2.8 getriggert werden. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, mittels
präparierter Pakete im Zusammenhang mit (1) der Funktion “crypto_recv”, wenn
das Autokey-Authentication-Feature verwendet wird, (2) der Funktion
“ctl_putdata” und (3) der Konfigurationsfunktion, um beliebigen Programmcode
auszuführen.
CVE-2014-9294: Schwachstelle in NTP erlaubt Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle in util/ntp-keygen.c in “ntp-keygen” in NTP bevor
4.2.7p230 besteht darin, dass eine schwache RNG-Saat (“seed”) verwendet
wird. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um leichter kryptographische Sicherheitsmechanismen
in einem Brute-Force-Angriff zu überwinden.
CVE-2014-9293: Schwachstelle in NTP erlaubt Umgehen von
Sicherheitsvorkehrungen
Die Funktion “config_auth” in “ntpd” (NTP-Daemon) in NTP bevor 4.2.7p11,
erzeugt unsachgemäß einen Schlüssel, falls ein Authentisierungsschlüssel
nicht konfiguriert ist. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um leichter kryptographische
Sicherheitsmechanismen in einem Brute-Force-Angriff zu überwinden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1701/
Cisco Security Advisory cisco-sa-20141222-ntpd:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141222-ntpd
Fedora Security Update FEDORA-2014-17361:
https://admin.fedoraproject.org/updates/FEDORA-2014-17361/ntp-4.2.6p5-19.fc20
Fedora Security Update FEDORA-2014-17367:
https://admin.fedoraproject.org/updates/FEDORA-2014-17367/ntp-4.2.6p5-25.fc21
Fedora Security Update FEDORA-2014-17395:
https://admin.fedoraproject.org/updates/FEDORA-2014-17395/ntp-4.2.6p5-13.fc19
Red Hat Security Advisory RHSA-2014:2024:
http://rhn.redhat.com/errata/RHSA-2014-2024.html
Red Hat Security Advisory RHSA-2014:2025:
http://rhn.redhat.com/errata/RHSA-2014-2025.html
Ubuntu Security Notice USN-2449-1:
http://www.ubuntu.com/usn/usn-2449-1/
openSUSE Security Update openSUSE-SU-2014:1670-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00075.html
Schwachstelle CVE-2014-9293 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9293
Schwachstelle CVE-2014-9294 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9294
Schwachstelle CVE-2014-9295 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9295
Schwachstelle CVE-2014-9296 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9296
Apple Security Advisory APPLE-SA-2014-12-22-1:
http://prod.lists.apple.com/archives/security-announce/2014/Dec/msg00005.html
Debian Security Advisory DSA-3108-1:
https://www.debian.org/security/2014/dsa-3108
Download OS X Mavericks NTP Security Update:
http://support.apple.com/kb/DL1783?viewlocale=en_US&locale=en_US
Download OS X Mountain Lion NTP Security Update:
http://support.apple.com/kb/DL1781?viewlocale=en_US&locale=en_US
Download OS X Yosemite NTP Security Update:
http://support.apple.com/kb/DL1782?viewlocale=en_US&locale=en_US
SUSE Security Update SUSE-SU-2014:1686-1:
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00025.html
F5 Networks Security Advisory sol15933:
http://support.f5.com/kb/en-us/solutions/public/15000/900/sol15933.html?ref=rss
FreeBSD Security Advisory FreeBSD-SA-14%3A31.ntp:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A31.ntp.asc
SUSE Security Update SUSE-SU-2014:1686-2:
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00031.html
SUSE Security Update SUSE-SU-2014:1690-1:
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00026.html
Sophos Security Advisory 121788:
https://www.sophos.com/en-us/support/knowledgebase/121788.aspx
F5 Networks Security Advisory sol15934:
http://support.f5.com/kb/en-us/solutions/public/15000/900/sol15934.html?ref=rss
F5 Networks Security Advisory sol15935:
http://support.f5.com/kb/en-us/solutions/public/15000/900/sol15935.html?ref=rss
F5 Networks Security Advisory sol15936:
http://support.f5.com/kb/en-us/solutions/public/15000/900/sol15936.html?ref=rss
SUSE Security Update SUSE-SU-2014:1686-3:
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00034.html
Citrix Security Advisory CTX200355:
http://support.citrix.com/article/CTX200355
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
