UPDATE: DFN-CERT-2015-0486 NTP: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und Denial-of-Service-Angriffe [Linux][Debian][Fedora][SuSE][Netzwerk][Cisco]

UPDATE: DFN-CERT-2015-0486 NTP: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und Denial-of-Service-Angriffe [Linux][Debian][Fedora][SuSE][Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (27.04.2015):
openSUSE stellt für die Distributionen openSUSE 13.1 und openSUSE 13.2
Sicherheitsupdates bereit. F5 Networks informiert darüber, dass BIG-IP PSM
von der Schwachstelle CVE-2015-1799 betroffen ist und zum Zeitpunkt der
Veröffentlichung des Advisory kein Patch verfügbar ist.
Version 3 (14.04.2015):
Debian stellt für die Distributionen Wheezy und Jessie Sicherheitsupdates
bereit.
Version 2 (13.04.2015):
Canonical bietet für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS und
Ubuntu 12.04 LTS Sicherheitsupdates an.
Version 1 (09.04.2015):
Neues Advisory

Betroffene Software:

NTP

Betroffene Plattformen:

F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Cisco Unified Computing System Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Cisco IOS XR Debian Linux 7.8 Wheezy Debian Linux 8.0 Jessie openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Zwei Schwachstellen in NTP ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und die Durchführung von Denial-of-Service-Angriffen. Cisco informiert darüber, dass die Analysen zur Betroffenheit der Cisco Produkte bzgl. dieser Schwachstellen noch nicht abgeschlossen sind. Bisher sind Cisco UCS Central und IOS-XR für das Cisco Network Convergence System (NCS) 6000 als betroffen ermittelt. Weitere Informationen werden von Cisco über die referenzierte Webseite veröffentlicht. Für die Distributionen Fedora 20, Fedora 21 und Fedora 22 stehen Sicherheitsupdates im Status 'testing' zur Verfügung. Patch: Cisco Security Advisory cisco-sa-20150408-ntpd http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150408-ntpd/

Patch:

Fedora Security Update FEDORA-2015-5761

https://admin.fedoraproject.org/updates/FEDORA-2015-5761/ntp-4.2.6p5-29.fc22

Patch:

Fedora Security Update FEDORA-2015-5830

https://admin.fedoraproject.org/updates/FEDORA-2015-5830/ntp-4.2.6p5-29.fc21

Patch:

Fedora Security Update FEDORA-2015-5874

https://admin.fedoraproject.org/updates/FEDORA-2015-5874/ntp-4.2.6p5-21.fc20

Patch:

Debian Security Advisory DSA-3223

https://www.debian.org/security/2015/dsa-3223

Patch:

Ubuntu Security Notice USN-2567-1

http://www.ubuntu.com/usn/usn-2567-1/

Patch:

openSUSE Security Update openSUSE-SU-2015:0775-1

http://lists.opensuse.org/opensuse-updates/2015-04/msg00052.html

CVE-2015-1799: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

NTP-Zustandsvariablen werden gesetzt bevor empfangene Pakete validiert
wurden, wodurch es möglich ist, die Synchronisation zwischen zwei
NTP-Parteien zu stören. Dieses Problem tritt auch dann auf, wenn
NTP-Authentifizierung benutzt wird. Die Zustandsvariablen werden sogar dann
gesetzt, wenn die Authentifizierung fehlschlägt. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Zustand herbeizuführen.

CVE-2015-1798: Schwachstelle in NTP ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Wenn ntpd so konfiguriert ist, dass ein symmetrischer Schlüssel mit einem
anderen NTP-Server benutzt wird, dann wird die Gültigkeit des Message
Authentication Code (MAC) von eingehenden Paketen geprüft. Es wird
allerdings nicht geprüft, ob überhaupt ein MAC vorhanden ist, so dass Pakete
ohne MAC so akzeptiert werden, als wäre ein gültiger MAC vorhanden. Ein
entfernter, nicht authentifizierter Angreifer als Mittelsmann im Netzwerk
kann diese Schwachstelle mit gefälschten Pakten ausnutzen, um
Sicherheitsvorkehrungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0486/

Schwachstelle CVE-2015-1798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1798

Schwachstelle CVE-2015-1799 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1799

Cisco Security Advisory cisco-sa-20150408-ntpd:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150408-ntpd/

Fedora Security Update FEDORA-2015-5761:
https://admin.fedoraproject.org/updates/FEDORA-2015-5761/ntp-4.2.6p5-29.fc22

Fedora Security Update FEDORA-2015-5830:
https://admin.fedoraproject.org/updates/FEDORA-2015-5830/ntp-4.2.6p5-29.fc21

Fedora Security Update FEDORA-2015-5874:
https://admin.fedoraproject.org/updates/FEDORA-2015-5874/ntp-4.2.6p5-21.fc20

Debian Security Advisory DSA-3223:
https://www.debian.org/security/2015/dsa-3223

Ubuntu Security Notice USN-2567-1:
http://www.ubuntu.com/usn/usn-2567-1/

openSUSE Security Update openSUSE-SU-2015:0775-1:
http://lists.opensuse.org/opensuse-updates/2015-04/msg00052.html

F5 Networks Security Advisory sol16506:
https://support.f5.com/kb/en-us/solutions/public/16000/500/sol16506.html?ref=rss

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben