UPDATE: DFN-CERT-2016-0679 NTP: Mehrere Schwachstellen ermöglichen u.a. die Darstellung falscher Zeitinformationen [Unix][FreeBSD][Netzwerk][Cisco]

UPDATE: DFN-CERT-2016-0679 NTP: Mehrere Schwachstellen ermöglichen u.a. die Darstellung falscher Zeitinformationen [Unix][FreeBSD][Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (02.05.2016):
Cisco aktualisiert die referenzierte Sicherheitswarnung und nennt erste
Produkte, die von den Schwachstellen betroffen sind. Unter anderem sind
Cisco MeetingPlace, Cisco Content Security Appliance (CSA) Updater Server
und Cisco Unified Computing System (UCS) Central betroffen. Die
Untersuchungen für insgesamt 253 Cisco Produkte sind noch nicht
abgeschlossen. Cisco wird den Sicherheitshinweis aktualisieren, sobald
neue Informationen vorliegen. Es stehen noch keine Sicherheitsupdates zur
Verfügung.
Version 3 (29.04.2016):
Für die FreeBSD Versionen 9.3-STABLE und 10.3-STABLE stehen
Sicherheitsupdates für NTP bereit. Zusätzlich veröffentlicht das FreeBSD
Project die korrigierten Versionen 9.3-RELEASE-p40, 10.1-RELEASE-p32,
10.2-RELEASE-p15 und 10.3-RELEASE-p1, um die Schwachstellen zu
adressieren.
Version 2 (28.04.2016):
Cisco veröffentlicht ein Security Advisory, da viele Cisco Produkte den
NTP-Daemon intern nutzen, zur Zeit existieren aber noch keine Details
bezüglich der betroffenen Produkte und keine Sicherheitsupdates. Cisco
kündigt an, die Analyseergebnisse und Updates sukzessive über die
referenzierte Seite zu veröffentlichen.
Version 1 (28.04.2016):
Neues Advisory

Betroffene Software:

NTP < 4.2.8p7 Betroffene Plattformen: Cisco Unified Computing System Central Software Cisco Unified MeetingPlace Cisco Video Distribution Suite for Internet Streaming (VDS-IS/CDS-IS) NTP Cisco Hardware Cisco Content Security Management Appliance FreeBSD < 9.3-RELEASE-p40 FreeBSD 9.3-STABLE FreeBSD < 10.1-RELEASE-p32 FreeBSD < 10.2-RELEASE-p15 FreeBSD < 10.3-RELEASE-p1 FreeBSD 10.3-STABLE Mehrere Schwachstellen in NTP ermöglichen einem entfernten, auch nicht authentifizierten Angreifer die Manipulation von Systemuhren und Zeitinformationen auf Server- und Klientensystemen und die Durchführung von Denial-of-Service (DoS)-Angriffen. Das NTP Projekt informiert über die Schwachstellen und stellt NTP 4.2.8p7 als Sicherheitsupdate bereit, um die Schwachstellen zu beheben. Patch: NTP 4.2.8p7 Release Notes http://support.ntp.org/bin/view/Main/SecurityNotice#April_2016_NTP_4_2_8p7_Security

Patch:

FreeBSD Security Advisory FreeBSD-SA-16:16.ntp

http://www.freebsd.org/security/advisories/FreeBSD-SA-16%3A16.ntp.asc

CVE-2016-2519: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Mit den Programmen ntpq und ntpdc können Werte in ntpd gespeichert werden,
die größer sind als der Pufferspeicher, den die Funktion ctl_getitem() für
den Rückgabewert benutzt. Wenn die Länge des angefragten Wertes bei der
Rückgabe durch ctl_getitem() zu groß ist, wird stattdessen der Wert NULL
zurückgegeben. An zwei Stellen im Programmcode wird der Rückgabewert nicht
auf den Wert NULL überprüft, allerdings wird dieser Umstand durch
INSIST()-Anweisungen im weiteren Programmverlauf sichergestellt, woraufhin
ntpd bei dem Versuch, zu große Werte anzufragen, beendet wird
(Denial-of-Service). Ein entfernter, einfach authentisierter Angreifer kann
einen Denial-of-Service-Angriff durchführen.

CVE-2016-2518: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Ein entfernter, einfach authentifizierter Angreifer kann durch das Versenden
eines speziell präparierten Pakets zur Erstellung einer Peer-Association mit
hmode > 7 einen Zugriff auf Speicher außerhalb des zugewiesenen
Speicherbereichs in ‘MATCH_ASSOC()’ forcieren und dadurch einen
Denial-of-Service-Zustand auslösen.

CVE-2016-2517: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Falls ntpd so konfiguriert ist, dass der Dienst aus der Entfernung verwaltet
werden kann (Remote Configuration), kann ein bösartiger Benutzer, der den
‘controlkey’ für ntpd oder den ‘requestkey’ für ntpdc kennt eine eigene
Session mit ntpd erstellen und den Wert von ‘trustedkey’, ‘controlkey’ oder
‘requestkey’ auf einen Wert setzen, der jede weitere Authentifizierung mit
ntpd verhindert, bis ntpd neu gestartet wird. Ein entfernter, einfach
authentifizierter Angreifer kann einen Denial-of-Service-Angriff ausführen.

CVE-2016-2516: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Falls ntpd so konfiguriert ist, dass der Dienst aus der Entfernung verwaltet
werden kann (Remote Configuration), kann ein bösartiger Benutzer, der den
‘controlkey’ für ntpd oder den ‘requestkey’ für ntpdc kennt eine eigene
Session mit ntpd erstellen. Falls zusätzlich eine bestehende Verbindung
(Association) nicht konfiguriert ist, kann durch zweimalige Verwendung
derselben IP-Adresse in der ‘unconfig’-Anweisung nptd zum Absturz gebracht
werden. Ein entfernter, einfach authentifizierter Angreifer kann einen
Denial-of-Service-Angriff ausführen.

CVE-2016-1551: Schwachstelle in NTP ermöglicht Fälschen von
Zeitinformationen

Der NTP-Dienst ntpd vertraut NTP-Datenverkehr von Referenzuhren aus dem
Netzwerkbereich 127.127.0.0/16 implizit. Da der Netzwerkbereich 127.0.0.0/8
privat ist, sollte dieser Datenverkehr von Betriebssystemen oder Routern
gefiltert werden. Ein entfernter, nicht authentifizierter Angreifer, der in
der Lage ist, NTP-Pakete mit einer Absenderadresse aus dem Vertrauensbereich
zu versenden, kann sich entsprechend konfigurierten Systemen gegenüber als
Referenzuhr ausgeben und die Uhrzeit auf dem betroffenen System ändern.

CVE-2016-1550: Schwachstelle in NTP ermöglicht Fälschen von
Zeitinformationen

NTP-Pakete beinhalten eine Schlüssel-ID (32 Bit), die verwendet wird, um
einen geheimen Schlüssel (128 Bit) zu bezeichnen, der von koordinierenden
Systemem geteilt wird. Pakete werden abgelehnt, wenn der Digest im Paket
nicht zu dem vom Klienten berechneten geheimen Schlüssel passt. In dem Fall
sendet der Empfänger ein bestimmtes Paket zurück, um den Absender über das
fehlerhafte Paket zu informieren. Dieser Sendevorgang ist anfällig für
Timing-Angriffe. Ein entfernter, nicht authentifizierter Angreifer kann den
geteilten Schlüssel erraten (Brute Force) und in der Folge gefälschte
NTP-Pakete verschicken.

CVE-2016-1549: Schwachstelle in NTP ermöglicht die Manipulation von Uhren

Wenn ein System so konfiguriert ist, dass ein vertrauenswürdiger Schlüssel
(‘trustedkey’) benutzt und gleichzeitig die Funktion des optionalen vierten
Feldes in der ‘ntp.keys’-Datei für die Angabe erlaubter Zeit-Server nicht
benutzt wird, kann ein anderes bösartiges System, das im Besitz des privaten
Schlüssels ist, beliebig viele Verbindungen erzeugen, um die Uhrenauswahl
durch ntpd zu gewinnen und die Uhr des Systems modifizieren. Ein entfernter,
einfach authentifizierter Angreifer kann die Schwachstelle ausnutzen, um
Systemuhren zu manipulieren.

CVE-2016-1548: Schwachstelle in NTP ermöglicht Fälschen von
Zeitinformationen

Die Spezifikationen von NTP erlauben einen verschachtelten (interleaved)
Betriebsmodus, in dem jedes Paket einen Zeitstempel enthält, der angibt,
wann das vorherige Paket versendet wurde. Ein entfernter, nicht
authentifizierter Angreifer kann ein spezielles Paket versenden, das diesen
Modus aktiviert, auch wenn der Klient nicht dafür konfiguriert ist. Nach der
Aktivierung verwirft der Klient weitere Pakete vorher assoziierter Server,
so dass der Angreifer durch das Versenden weiterer Pakete die Uhrzeit auf
dem Klientsystem ändern kann.

CVE-2016-1547: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Unter bestimmten Umständen kann die Verbindung (Association) von
Peer-Ntpd-Systemen unterbrochen werden, indem gefälschte Pakete versendet
werden, die den Empfänger über einen fehlerhaften Authentifizierungsversuch
einer vorherigen Anfrage unterrichten. In dem Fall wird die Verbindung
unterbrochen und ein entfernter, nicht authentifizierter Angreifer kann mit
Hilfe gefälschter Pakete den Angriff wiederholen und einen dauerhaften
Denial-of-Service-Zustand des betroffenen Ntpd-Systems erzeugen.

CVE-2015-8138: Schwachstelle in NTP ermöglicht Fälschen von
Zeitinformationen

Um legitime Antworten von Fälschungen unterscheiden zu können, prüft ein
Client ein Antwortpaket daraufhin, ob der Zeitstempel im Paket dem
Zeitstempel in seiner letzten Anfrage entspricht. Aufgrund eines
Logikfehlers können Pakete mit einem Zeitstempel von Null diese Überprüfung
umgehen, wenn keine Anfrage an einen Server gesendet wurde. Ein entfernter,
nicht authentisierter Angreifer kann falsche Informationen bereitstellen.

CVE-2015-7704: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Der Daemon ntpd im Client-Modus überprüft die Zeitstempel von Kiss-of-Death
(KoD)-Paketen nicht korrekt. Dadurch kann ein entfernter, nicht
authentifizierter Angreifer mit Hilfe eines präparierten
Kiss-of-Death-Pakets den Wert des Polling-Intervals vom Client erhöhen und
in Folge die Synchronisierung mit dem Server aussetzen, wodurch ein
Denial-of-Service-Zustand ausgelöst wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0679/

Schwachstelle CVE-2015-7704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7704

Schwachstelle CVE-2015-8138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8138

NTP 4.2.8p7 Release Notes:
http://support.ntp.org/bin/view/Main/SecurityNotice#April_2016_NTP_4_2_8p7_Security

Schwachstelle CVE-2016-1547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1547

Schwachstelle CVE-2016-1548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1548

Schwachstelle CVE-2016-1549 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1549

Schwachstelle CVE-2016-1550 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1550

Schwachstelle CVE-2016-1551 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1551

Schwachstelle CVE-2016-2516 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2516

Schwachstelle CVE-2016-2517 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2517

Schwachstelle CVE-2016-2518 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2518

Schwachstelle CVE-2016-2519 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2519

Cisco Security Advisory cisco-sa-20160428-ntpd:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160428-ntpd

FreeBSD Security Advisory FreeBSD-SA-16:16.ntp:
http://www.freebsd.org/security/advisories/FreeBSD-SA-16%3A16.ntp.asc

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2016-0679 NTP: Mehrere Schwachstellen ermöglichen u.a. die Darstellung falscher Zeitinformationen [Unix][FreeBSD][Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (29.04.2016):
Für die FreeBSD Versionen 9.3-STABLE und 10.3-STABLE stehen
Sicherheitsupdates für NTP bereit. Zusätzlich veröffentlicht das FreeBSD
Project die korrigierten Versionen 9.3-RELEASE-p40, 10.1-RELEASE-p32,
10.2-RELEASE-p15 und 10.3-RELEASE-p1, um die Schwachstellen zu
adressieren.
Version 2 (28.04.2016):
Cisco veröffentlicht ein Security Advisory, da viele Cisco Produkte den
NTP-Daemon intern nutzen, zur Zeit existieren aber noch keine Details
bezüglich der betroffenen Produkte und keine Sicherheitsupdates. Cisco
kündigt an, die Analyseergebnisse und Updates sukzessive über die
referenzierte Seite zu veröffentlichen.
Version 1 (28.04.2016):
Neues Advisory

Betroffene Software:

NTP < 4.2.8p7 Betroffene Plattformen: NTP Cisco Hardware FreeBSD < 9.3-RELEASE-p40 FreeBSD 9.3-STABLE FreeBSD < 10.1-RELEASE-p32 FreeBSD < 10.2-RELEASE-p15 FreeBSD < 10.3-RELEASE-p1 FreeBSD 10.3-STABLE Mehrere Schwachstellen in NTP ermöglichen einem entfernten, auch nicht authentifizierten Angreifer die Manipulation von Systemuhren und Zeitinformationen auf Server- und Klientensystemen und die Durchführung von Denial-of-Service (DoS)-Angriffen. Das NTP Projekt informiert über die Schwachstellen und stellt NTP 4.2.8p7 als Sicherheitsupdate bereit, um die Schwachstellen zu beheben. Patch: NTP 4.2.8p7 Release Notes http://support.ntp.org/bin/view/Main/SecurityNotice#April_2016_NTP_4_2_8p7_Security

Patch:

FreeBSD Security Advisory FreeBSD-SA-16:16.ntp

http://www.freebsd.org/security/advisories/FreeBSD-SA-16%3A16.ntp.asc

CVE-2016-2519: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Mit den Programmen ntpq und ntpdc können Werte in ntpd gespeichert werden,
die größer sind als der Pufferspeicher, den die Funktion ctl_getitem() für
den Rückgabewert benutzt. Wenn die Länge des angefragten Wertes bei der
Rückgabe durch ctl_getitem() zu groß ist, wird stattdessen der Wert NULL
zurückgegeben. An zwei Stellen im Programmcode wird der Rückgabewert nicht
auf den Wert NULL überprüft, allerdings wird dieser Umstand durch
INSIST()-Anweisungen im weiteren Programmverlauf sichergestellt, woraufhin
ntpd bei dem Versuch, zu große Werte anzufragen, beendet wird
(Denial-of-Service). Ein entfernter, einfach authentisierter Angreifer kann
einen Denial-of-Service-Angriff durchführen.

CVE-2016-2518: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Ein entfernter, einfach authentifizierter Angreifer kann durch das Versenden
eines speziell präparierten Pakets zur Erstellung einer Peer-Association mit
hmode > 7 einen Zugriff auf Speicher außerhalb des zugewiesenen
Speicherbereichs in ‘MATCH_ASSOC()’ forcieren und dadurch einen
Denial-of-Service-Zustand auslösen.

CVE-2016-2517: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Falls ntpd so konfiguriert ist, dass der Dienst aus der Entfernung verwaltet
werden kann (Remote Configuration), kann ein bösartiger Benutzer, der den
‘controlkey’ für ntpd oder den ‘requestkey’ für ntpdc kennt eine eigene
Session mit ntpd erstellen und den Wert von ‘trustedkey’, ‘controlkey’ oder
‘requestkey’ auf einen Wert setzen, der jede weitere Authentifizierung mit
ntpd verhindert, bis ntpd neu gestartet wird. Ein entfernter, einfach
authentifizierter Angreifer kann einen Denial-of-Service-Angriff ausführen.

CVE-2016-2516: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Falls ntpd so konfiguriert ist, dass der Dienst aus der Entfernung verwaltet
werden kann (Remote Configuration), kann ein bösartiger Benutzer, der den
‘controlkey’ für ntpd oder den ‘requestkey’ für ntpdc kennt eine eigene
Session mit ntpd erstellen. Falls zusätzlich eine bestehende Verbindung
(Association) nicht konfiguriert ist, kann durch zweimalige Verwendung
derselben IP-Adresse in der ‘unconfig’-Anweisung nptd zum Absturz gebracht
werden. Ein entfernter, einfach authentifizierter Angreifer kann einen
Denial-of-Service-Angriff ausführen.

CVE-2016-1551: Schwachstelle in NTP ermöglicht Fälschen von
Zeitinformationen

Der NTP-Dienst ntpd vertraut NTP-Datenverkehr von Referenzuhren aus dem
Netzwerkbereich 127.127.0.0/16 implizit. Da der Netzwerkbereich 127.0.0.0/8
privat ist, sollte dieser Datenverkehr von Betriebssystemen oder Routern
gefiltert werden. Ein entfernter, nicht authentifizierter Angreifer, der in
der Lage ist, NTP-Pakete mit einer Absenderadresse aus dem Vertrauensbereich
zu versenden, kann sich entsprechend konfigurierten Systemen gegenüber als
Referenzuhr ausgeben und die Uhrzeit auf dem betroffenen System ändern.

CVE-2016-1550: Schwachstelle in NTP ermöglicht Fälschen von
Zeitinformationen

NTP-Pakete beinhalten eine Schlüssel-ID (32 Bit), die verwendet wird, um
einen geheimen Schlüssel (128 Bit) zu bezeichnen, der von koordinierenden
Systemem geteilt wird. Pakete werden abgelehnt, wenn der Digest im Paket
nicht zu dem vom Klienten berechneten geheimen Schlüssel passt. In dem Fall
sendet der Empfänger ein bestimmtes Paket zurück, um den Absender über das
fehlerhafte Paket zu informieren. Dieser Sendevorgang ist anfällig für
Timing-Angriffe. Ein entfernter, nicht authentifizierter Angreifer kann den
geteilten Schlüssel erraten (Brute Force) und in der Folge gefälschte
NTP-Pakete verschicken.

CVE-2016-1549: Schwachstelle in NTP ermöglicht die Manipulation von Uhren

Wenn ein System so konfiguriert ist, dass ein vertrauenswürdiger Schlüssel
(‘trustedkey’) benutzt und gleichzeitig die Funktion des optionalen vierten
Feldes in der ‘ntp.keys’-Datei für die Angabe erlaubter Zeit-Server nicht
benutzt wird, kann ein anderes bösartiges System, das im Besitz des privaten
Schlüssels ist, beliebig viele Verbindungen erzeugen, um die Uhrenauswahl
durch ntpd zu gewinnen und die Uhr des Systems modifizieren. Ein entfernter,
einfach authentifizierter Angreifer kann die Schwachstelle ausnutzen, um
Systemuhren zu manipulieren.

CVE-2016-1548: Schwachstelle in NTP ermöglicht Fälschen von
Zeitinformationen

Die Spezifikationen von NTP erlauben einen verschachtelten (interleaved)
Betriebsmodus, in dem jedes Paket einen Zeitstempel enthält, der angibt,
wann das vorherige Paket versendet wurde. Ein entfernter, nicht
authentifizierter Angreifer kann ein spezielles Paket versenden, das diesen
Modus aktiviert, auch wenn der Klient nicht dafür konfiguriert ist. Nach der
Aktivierung verwirft der Klient weitere Pakete vorher assoziierter Server,
so dass der Angreifer durch das Versenden weiterer Pakete die Uhrzeit auf
dem Klientsystem ändern kann.

CVE-2016-1547: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Unter bestimmten Umständen kann die Verbindung (Association) von
Peer-Ntpd-Systemen unterbrochen werden, indem gefälschte Pakete versendet
werden, die den Empfänger über einen fehlerhaften Authentifizierungsversuch
einer vorherigen Anfrage unterrichten. In dem Fall wird die Verbindung
unterbrochen und ein entfernter, nicht authentifizierter Angreifer kann mit
Hilfe gefälschter Pakete den Angriff wiederholen und einen dauerhaften
Denial-of-Service-Zustand des betroffenen Ntpd-Systems erzeugen.

CVE-2015-8138: Schwachstelle in NTP ermöglicht Fälschen von
Zeitinformationen

Um legitime Antworten von Fälschungen unterscheiden zu können, prüft ein
Client ein Antwortpaket daraufhin, ob der Zeitstempel im Paket dem
Zeitstempel in seiner letzten Anfrage entspricht. Aufgrund eines
Logikfehlers können Pakete mit einem Zeitstempel von Null diese Überprüfung
umgehen, wenn keine Anfrage an einen Server gesendet wurde. Ein entfernter,
nicht authentisierter Angreifer kann falsche Informationen bereitstellen.

CVE-2015-7704: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Der Daemon ntpd im Client-Modus überprüft die Zeitstempel von Kiss-of-Death
(KoD)-Paketen nicht korrekt. Dadurch kann ein entfernter, nicht
authentifizierter Angreifer mit Hilfe eines präparierten
Kiss-of-Death-Pakets den Wert des Polling-Intervals vom Client erhöhen und
in Folge die Synchronisierung mit dem Server aussetzen, wodurch ein
Denial-of-Service-Zustand ausgelöst wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0679/

Schwachstelle CVE-2015-7704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7704

Schwachstelle CVE-2015-8138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8138

NTP 4.2.8p7 Release Notes:
http://support.ntp.org/bin/view/Main/SecurityNotice#April_2016_NTP_4_2_8p7_Security

Schwachstelle CVE-2016-1547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1547

Schwachstelle CVE-2016-1548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1548

Schwachstelle CVE-2016-1549 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1549

Schwachstelle CVE-2016-1550 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1550

Schwachstelle CVE-2016-1551 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1551

Schwachstelle CVE-2016-2516 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2516

Schwachstelle CVE-2016-2517 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2517

Schwachstelle CVE-2016-2518 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2518

Schwachstelle CVE-2016-2519 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2519

Cisco Security Advisory cisco-sa-20160428-ntpd:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160428-ntpd

FreeBSD Security Advisory FreeBSD-SA-16:16.ntp:
http://www.freebsd.org/security/advisories/FreeBSD-SA-16%3A16.ntp.asc

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben