Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 9 (29.01.2015):
Für Red Hat Enterprise Linux 6.5 Extended Update Support stehen
Sicherheitsupdates bereit.
Version 8 (08.01.2015):
Citrix teilt mit, dass NTP per Voreinstellung zwar für NetScaler
deaktiviert sei, jedoch im Falle, dass Kunden NTP für ihre Appliances
aktiviert haben, diese wahrscheinlich verwundbar seien. Während die
Analysen noch andauern, empfiehlt Citrix seinen Kunden Maßnahmen zur
Verminderung des Risikos.
Version 7 (29.12.2014):
Für SUSE Linux Enterprise Server 11 SP1 LTSS steht ein Sicherheitsupdate
zur Behebung der Schwachstelle CVE-2014-9295 bereit.
Version 6 (24.12.2014):
F5 Networks informiert über die Verwundbarkeit aller Big-IP PSM Versionen
bezüglich der NTP-Schwachstellen mit Ausnahme der Schwachstelle
CVE-2014-9296, die in den F5 Produkten nicht vorhanden ist.
FreeBSD stellt Sicherheitsupdates für alle derzeit unterstützten FreeBSD
Versionen zur Verfügung, welche die vier Schwachstellen adressieren.
Sophos informiert über die Verwundbarkeit der Produkte Email Appliance,
Web Appliance und UTM (Versionen v8.X, v9.X). Die Analysen sind noch nicht
abgeschlossen und es stehen keine Sicherheitsupdates bereit. Aktualisierte
Informationen werden von Sophos über die angegebene Referenz verfügbar
gemacht.
Für SUSE Linux Enterprise Desktop 12 und SUSE Linux Enterprise Server 12
stehen Sicherheitsupdates zur Behebung der Schwachstellen CVE-2014-9295
und CVE-2014-9296 bereit. Und für SUSE Linux Enterprise Server 10 SP4 LTSS
steht ein Sicherheitsupdate für xntp, welches die Schwachstelle
CVE-2014-9295 adressiert, zur Verfügung.
Version 5 (23.12.2014):
Apple stellt für OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 und OS
X Yosemite v10.10.1 Sicherheitsupdates zur Behebung der NTP-Schwachstelle
CVE-2014-9295 zur Verfügung. Die gleiche Schwachstelle wird von den SUSE
Linux Enterprise 11 Sicherheitsupdates für die Produkte Server SP3, Server
SP3 für VMware, Server SP2 LTSS und Desktop SP3 adressiert.
Version 4 (22.12.2014):
Cisco teilt über das Advisory cisco-sa-20141222-ntpd mit, welche seiner
Produkte von den NTP-Schwachstellen betroffen sind. Das Advisory wird von
Cisco fortlaufend aktualisiert, sobald neue Informationen, Workarounds
oder Patches verfügbar sind.
Version 3 (22.12.2014):
Canonical stellt für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS,
Ubuntu 12.04 LTS und Ubuntu 10.04 LTS Sicherheitsupdates zur Behebung
aller vier Schwachstellen zur Verfügung.
Version 2 (22.12.2014):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate zur
Verfügung.
Version 1 (22.12.2014):
Neues Advisory

Betroffene Software:

NTP <= 4.2.7 Betroffene Plattformen: NetScaler Gateway NetScaler Application Delivery Controller F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Sophos Email Appliance Sophos UTM Sophos Web Appliance Apple Mac OS X 10.8.5 Apple Mac OS X 10.9.5 Apple Mac OS X 10.10.1 Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 Wheezy FreeBSD <= 8.4-STABLE FreeBSD < 8.4-RELEASE-p21 FreeBSD < 9.1-RELEASE-p24 FreeBSD < 9.2-RELEASE-p17 FreeBSD <= 9.3-STABLE FreeBSD < 9.3-RELEASE-p7 FreeBSD < 10.0-RELEASE-p15 FreeBSD <= 10.1-STABLE FreeBSD < 10.1-RELEASE-p3 openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 10 SP4 LTSS SUSE Linux Enterprise Server 11 SP1 LTSS SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware SUSE Linux Enterprise Server 12 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Red Hat Enterprise Linux Server 6.6.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer Sicherheitsvorkehrungen umgehen und in einem Falle beliebigen Programmcode zur Ausführung bringen. Für zahlreiche Linux-Distributionen werden bereits aktualisierte Pakete von NTP 4.2.6 bereitgestellt. Für Fedora 19, 20 und 21, Debian Wheezy sowie für verschiedene Red Hat Enterprise Linux 6 und 7 Produkte werden hierdurch jeweils alle Schwachstellen behoben. Für Red Hat Enterprise Linux (v. 5 Server), Desktop (v. 5 Client) wird die Schwachstelle CVE-2014-9296 nicht adressiert und für openSUSE 13.2, 13.1 und 12.3 werden nur die Schwachstellen CVE-2014-9295 und CVE-2014-9296 adressiert. Update 1: Canonical stellt für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS, Ubuntu 12.04 LTS und Ubuntu 10.04 LTS Sicherheitsupdates zur Behebung aller vier Schwachstellen zur Verfügung. Update 2: Cisco teilt über das Advisory cisco-sa-20141222-ntpd mit, welche seiner Produkte von den NTP-Schwachstellen betroffen sind. Das Advisory wird von Cisco fortlaufend aktualisiert, sobald neue Informationen, Workarounds oder Patches verfügbar sind. Apple stellt für OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 und OS X Yosemite v10.10.1 Sicherheitsupdates zur Behebung der NTP-Schwachstelle CVE-2014-9295 zur Verfügung. Die gleiche Schwachstelle wird von den SUSE Linux Enterprise 11 Sicherheitsupdates für die Produkte Server SP3, Server SP3 für VMware, Server SP2 LTSS und Desktop SP3 adressiert. Update 3: F5 Networks informiert über die Verwundbarkeit aller Big-IP PSM Versionen bezüglich der NTP-Schwachstellen mit Ausnahme der Schwachstelle CVE-2014-9296, die in den F5 Produkten nicht vorhanden ist. FreeBSD stellt Sicherheitsupdates für alle derzeit unterstützten FreeBSD Versionen zur Verfügung, welche die vier Schwachstellen adressieren. Sophos informiert über die Verwundbarkeit der Produkte Email Appliance, Web Appliance und UTM (Versionen v8.X, v9.X). Die Analysen sind noch nicht abgeschlossen und es stehen keine Sicherheitsupdates bereit. Aktualisierte Informationen werden von Sophos über die angegebene Referenz verfügbar gemacht. Für SUSE Linux Enterprise Desktop 12 und SUSE Linux Enterprise Server 12 stehen Sicherheitsupdates zur Behebung der Schwachstellen CVE-2014-9295 und CVE-2014-9296 bereit. Und für SUSE Linux Enterprise Server 10 SP4 LTSS steht ein Sicherheitsupdate für xntp, welches die Schwachstelle CVE-2014-9295 adressiert, zur Verfügung. Update 4: Für SUSE Linux Enterprise Server 11 SP1 LTSS steht ein Sicherheitsupdate zur Behebung der Schwachstelle CVE-2014-9295 bereit. Update 5: Citrix teilt mit, dass NTP per Voreinstellung zwar für NetScaler deaktiviert sei, jedoch im Falle, dass Kunden NTP für ihre Appliances aktiviert haben, diese wahrscheinlich verwundbar seien. Während die Analysen noch andauern, empfiehlt Citrix seinen Kunden Maßnahmen zur Verminderung des Risikos (siehe Workaround). Update 6: Für Red Hat Enterprise Linux 6.5 Extended Update Support stehen Sicherheitsupdates bereit. Workaround: Als eine vorläufige Maßnahme zur Verminderung des Risikos für Anwendungen von NetScaler, die NTP benötigen, empfiehlt Citrix seinen Kunden folgende Konfiguration: Hinzufügen folgender Zeilen in der NetScaler ntp.conf-Datei in /etc: restrict -4 default notrap nopeer nomodify noquery restrict -6 default notrap nopeer nomodify noquery Ferner sollten auch alle anderen 'restrict'-Direktiven daraufhin geprüft werden, dass diese 'nomodify' und 'noquery' enthalten und die Datei keine 'crypto'-Direktiven enthält. Danach muss die Datei gesichert und in das Verzeichnis /nsconfig kopiert werden. Anschließen muss der NTP-Dienst neu gestartet werden, um die Änderungen zu übernehmen. Hinweis: Die Maßnahmen sollten zunächst in einer Testumgebungen geprüft werden. Patch: Cisco Security Advisory cisco-sa-20141222-ntpd http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141222-ntpd

Patch:

Fedora Security Update FEDORA-2014-17361

https://admin.fedoraproject.org/updates/FEDORA-2014-17361/ntp-4.2.6p5-19.fc20

Patch:

Fedora Security Update FEDORA-2014-17367

https://admin.fedoraproject.org/updates/FEDORA-2014-17367/ntp-4.2.6p5-25.fc21

Patch:

Fedora Security Update FEDORA-2014-17395

https://admin.fedoraproject.org/updates/FEDORA-2014-17395/ntp-4.2.6p5-13.fc19

Patch:

Red Hat Security Advisory RHSA-2014:2024

http://rhn.redhat.com/errata/RHSA-2014-2024.html

Patch:

Red Hat Security Advisory RHSA-2014:2025

http://rhn.redhat.com/errata/RHSA-2014-2025.html

Patch:

Ubuntu Security Notice USN-2449-1

http://www.ubuntu.com/usn/usn-2449-1/

Patch:

openSUSE Security Update openSUSE-SU-2014:1670-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00075.html

Patch:

Apple Security Advisory APPLE-SA-2014-12-22-1

http://prod.lists.apple.com/archives/security-announce/2014/Dec/msg00005.html

Patch:

Debian Security Advisory DSA-3108-1

https://www.debian.org/security/2014/dsa-3108

Patch:

Download OS X Mavericks NTP Security Update

http://support.apple.com/kb/DL1783?viewlocale=en_US&locale=en_US

Patch:

Download OS X Mountain Lion NTP Security Update

http://support.apple.com/kb/DL1781?viewlocale=en_US&locale=en_US

Patch:

Download OS X Yosemite NTP Security Update

http://support.apple.com/kb/DL1782?viewlocale=en_US&locale=en_US

Patch:

SUSE Security Update SUSE-SU-2014:1686-1

http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00025.html

Patch:

F5 Networks Security Advisory sol15933

http://support.f5.com/kb/en-us/solutions/public/15000/900/sol15933.html?ref=rss

Patch:

FreeBSD Security Advisory FreeBSD-SA-14%3A31.ntp

http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A31.ntp.asc

Patch:

SUSE Security Update SUSE-SU-2014:1686-2

http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00031.html

Patch:

SUSE Security Update SUSE-SU-2014:1690-1

http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00026.html

Patch:

Sophos Security Advisory 121788

https://www.sophos.com/en-us/support/knowledgebase/121788.aspx

Patch:

SUSE Security Update SUSE-SU-2014:1686-3

http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00034.html

Patch:

Citrix Security Advisory CTX200355

http://support.citrix.com/article/CTX200355

Patch:

Red Hat Security Advisory RHSA-2015:0104

http://rhn.redhat.com/errata/RHSA-2015-0104.html

CVE-2014-9296: Schwachstelle in NTP erlaubt Umgehen von
Sicherheitsvorkehrungen

Die Funktion “receive” in ntp_proto.c in “ntpd” (NTP-Daemon) in NTP bevor
4.2.8 arbeitet auch nach dem Auftreten eines bestimmten
Authentifikationsfehlers weiter. Ein entfernter, nicht authentifizierter
Angreifer kann die Schwachstelle ausnutzen, mittels präparierter Pakete, um
einen unbeabsichtigten Assoziationswechsel auszulösen und dadurch den
NTP-Authentifikationsmechanismus zu umgehen.

CVE-2014-9295: Stack-Pufferüberlauf-Schwachstelle erlaubt Ausführen
beliebigen Programmcodes

Mehrere stack-basierte Pufferspeicherüberläufe können in ntpd (NTP-Daemon)
in NTP bevor 4.2.8 getriggert werden. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, mittels
präparierter Pakete im Zusammenhang mit (1) der Funktion “crypto_recv”, wenn
das Autokey-Authentication-Feature verwendet wird, (2) der Funktion
“ctl_putdata” und (3) der Konfigurationsfunktion, um beliebigen Programmcode
auszuführen.

CVE-2014-9294: Schwachstelle in NTP erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in util/ntp-keygen.c in “ntp-keygen” in NTP bevor
4.2.7p230 besteht darin, dass eine schwache RNG-Saat (“seed”) verwendet
wird. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um leichter kryptographische Sicherheitsmechanismen
in einem Brute-Force-Angriff zu überwinden.

CVE-2014-9293: Schwachstelle in NTP erlaubt Umgehen von
Sicherheitsvorkehrungen

Die Funktion “config_auth” in “ntpd” (NTP-Daemon) in NTP bevor 4.2.7p11,
erzeugt unsachgemäß einen Schlüssel, falls ein Authentisierungsschlüssel
nicht konfiguriert ist. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um leichter kryptographische
Sicherheitsmechanismen in einem Brute-Force-Angriff zu überwinden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1701/

Cisco Security Advisory cisco-sa-20141222-ntpd:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141222-ntpd

Fedora Security Update FEDORA-2014-17361:
https://admin.fedoraproject.org/updates/FEDORA-2014-17361/ntp-4.2.6p5-19.fc20

Fedora Security Update FEDORA-2014-17367:
https://admin.fedoraproject.org/updates/FEDORA-2014-17367/ntp-4.2.6p5-25.fc21

Fedora Security Update FEDORA-2014-17395:
https://admin.fedoraproject.org/updates/FEDORA-2014-17395/ntp-4.2.6p5-13.fc19

Red Hat Security Advisory RHSA-2014:2024:
http://rhn.redhat.com/errata/RHSA-2014-2024.html

Red Hat Security Advisory RHSA-2014:2025:
http://rhn.redhat.com/errata/RHSA-2014-2025.html

Ubuntu Security Notice USN-2449-1:
http://www.ubuntu.com/usn/usn-2449-1/

openSUSE Security Update openSUSE-SU-2014:1670-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00075.html

Schwachstelle CVE-2014-9293 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9293

Schwachstelle CVE-2014-9294 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9294

Schwachstelle CVE-2014-9295 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9295

Schwachstelle CVE-2014-9296 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9296

Apple Security Advisory APPLE-SA-2014-12-22-1:
http://prod.lists.apple.com/archives/security-announce/2014/Dec/msg00005.html

Debian Security Advisory DSA-3108-1:
https://www.debian.org/security/2014/dsa-3108

Download OS X Mavericks NTP Security Update:
http://support.apple.com/kb/DL1783?viewlocale=en_US&locale=en_US

Download OS X Mountain Lion NTP Security Update:
http://support.apple.com/kb/DL1781?viewlocale=en_US&locale=en_US

Download OS X Yosemite NTP Security Update:
http://support.apple.com/kb/DL1782?viewlocale=en_US&locale=en_US

SUSE Security Update SUSE-SU-2014:1686-1:
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00025.html

F5 Networks Security Advisory sol15933:
http://support.f5.com/kb/en-us/solutions/public/15000/900/sol15933.html?ref=rss

FreeBSD Security Advisory FreeBSD-SA-14%3A31.ntp:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A31.ntp.asc

SUSE Security Update SUSE-SU-2014:1686-2:
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00031.html

SUSE Security Update SUSE-SU-2014:1690-1:
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00026.html

Sophos Security Advisory 121788:
https://www.sophos.com/en-us/support/knowledgebase/121788.aspx

F5 Networks Security Advisory sol15934:
http://support.f5.com/kb/en-us/solutions/public/15000/900/sol15934.html?ref=rss

F5 Networks Security Advisory sol15935:
http://support.f5.com/kb/en-us/solutions/public/15000/900/sol15935.html?ref=rss

F5 Networks Security Advisory sol15936:
http://support.f5.com/kb/en-us/solutions/public/15000/900/sol15936.html?ref=rss

SUSE Security Update SUSE-SU-2014:1686-3:
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00034.html

Citrix Security Advisory CTX200355:
http://support.citrix.com/article/CTX200355

Red Hat Security Advisory RHSA-2015:0104:
http://rhn.redhat.com/errata/RHSA-2015-0104.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.