UPDATE: DFN-CERT-2015-0155 NTP: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und Denial-of-Service-Angriffe [Linux][Debian][Fedora][Netzwerk]

UPDATE: DFN-CERT-2015-0155 NTP: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und Denial-of-Service-Angriffe [Linux][Debian][Fedora][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (13.04.2015):
F5 Networks teilt mit, dass u. a. alle Versionen von Big-IP PSM von diesen
Schwachstellen betroffen sind und empfiehlt einen Workaround zur
Vermeidung der Schwachstelle CVE-2014-9298.
Version 2 (10.02.2015):
Canonical stellt für die Distributionen Ubuntu 10.04 LTS, 12.04 LTS, 14.04
LTS und 14.10 Sicherheitsupdates zur Verfügung.
Version 1 (06.02.2015):
Neues Advisory

Betroffene Software:

F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 NTP <= 4.2.6 Betroffene Plattformen: F5 Networks BIG-IP Systeme Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 Wheezy Red Hat Fedora 20 Red Hat Fedora 21 Zwei Schwachstellen in NTP ermöglichen einem entfernten, nicht authentifizierten Angreifer Sicherheitsmaßnahmen zu umgehen, Informationen auszuspähen oder Denial-of-Service-Angriffe durchzuführen. Für die stabile Distribution Debian Wheezy (7.7) sowie Fedora 20 und 21 werden Sicherheitsupdates jeweils basierend auf gepatchten NTP 4.2.6-Paketen zur Verfügung gestellt. Workaround: Für BIG-IP PSM: 1) Die Management-Schnittstelle sollte grundsätzlich nur innerhalb vertrauenswürdiger Netze zugänglich gemacht werden. 2) Externe Firefalls sollten so konfiguriert werden, dass alle Pakete aus Quelle ::1 geblockt werden. Außerdem könnte IPv6 geblockt werden. 3) Die NTP-Konfiguration sollte so geändert werden, dass diese nicht mehr aus der Ferne manipuliert werden kann. Hierzu sollten die folgenden tmsh-Befehle ausgeführt werden: tmsh modify sys ntp restrict replace-all-with { "::1" { address ::1 no-modify enabled no-trap enabled } } tmsh save /sys config Patch: Debian Security Advisory DSA-3154-1 https://www.debian.org/security/2015/dsa-3154

Patch:

Fedora Security Update FEDORA-2015-1736

https://admin.fedoraproject.org/updates/FEDORA-2015-1736/ntp-4.2.6p5-27.fc21

Patch:

Fedora Security Update FEDORA-2015-1759

https://admin.fedoraproject.org/updates/FEDORA-2015-1759/ntp-4.2.6p5-20.fc20

Patch:

Ubuntu Security Notice USN-2497-1

http://www.ubuntu.com/usn/usn-2497-1

CVE-2014-9298: Schwachstelle in NTP ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in der Verarbeitung von IPv6-Adressen führt dazu, dass
Quellen-IP-Zugriffssteuerungslisten (ACLs) die auf IPv6 ::1 basieren,
umgangen werden können, wenn die IP-Pakete gefälscht werden. Ein entfernter,
nicht authentifizierter Angreifer kann Sicherungsmaßnahmen umgehen.

CVE-2014-9297: Schwachstelle in ntp_crypto ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in der Datei ntp_crypto.c führt dazu, dass die
Längenangaben in Erweiterungsfeldern nicht korrekt überprüft werden. Ein
entfernter, nicht authentifizierter Angreifer kann Informationen ausspähen
oder einen Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0155/

Debian Security Advisory DSA-3154-1:
https://www.debian.org/security/2015/dsa-3154

Fedora Security Update FEDORA-2015-1736:
https://admin.fedoraproject.org/updates/FEDORA-2015-1736/ntp-4.2.6p5-27.fc21

Fedora Security Update FEDORA-2015-1759:
https://admin.fedoraproject.org/updates/FEDORA-2015-1759/ntp-4.2.6p5-20.fc20

Schwachstelle CVE-2014-9297 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9297

Schwachstelle CVE-2014-9298 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9298

Ubuntu Security Notice USN-2497-1:
http://www.ubuntu.com/usn/usn-2497-1

F5 Networks Security Advisory sol16392:
http://support.f5.com/kb/en-us/solutions/public/16000/300/sol16392.html?ref=rss

F5 Networks Security Advisory sol16393:
http://support.f5.com/kb/en-us/solutions/public/16000/300/sol16393.html?ref=rss

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben