インターネット接続機器の時刻合わせに使われるNTPに複数の脆弱性が見つかり、修正のための更新版が公開された。サービス妨害などの攻撃に利用される恐れがあるとして、米セキュリティ機関などはできるだけ早くパッチを適用するよう呼び掛けている。
NTPのセキュリティ情報によると、4月26日に公開された「NTP-4.2.8p7」では11件の脆弱性に対処したほか、16件の不具合が修正された。
米セキュリティ機関CERT/CCによれば、これらの脆弱性を悪用された場合、認証を受けないリモートの攻撃者にパケットを偽装され、サービス妨害(DoS)攻撃を仕掛けられたり認証をかわされたり、設定を変更されたりする恐れがある。
危険度は共通脆弱性評価システム(CVSS)のベーススコアで6.8(最大値は10.0)。NTPチームでは「中」または「低」と評価している。
関連記事
- (更新)Apache Strutsに危険度「高」の脆弱性、攻撃実証コードも公開
悪用された場合に任意のコードを実行される恐れがある。 - IKEにDDoSリフレクション攻撃の脆弱性、主要ベンダーに広範な影響
鍵交換に使われるIKE/IKEv2にDDoS増幅攻撃の脆弱性が見つかった。主要ベンダーやオープンソースプロジェクトに広く影響が及ぶ可能性がある。 - NTPに脆弱性、システム時刻を変更される恐れ
被害者はntpdプロセスが悪質な時刻源と同期させられて、攻撃者の任意の時刻に変更されてしまう恐れがある。 - BitTorrent、DDoS増幅攻撃の脆弱性を修正
BitTorrentはuTorrentとBitTorrent、BitTorrent Syncクライアントの更新版をそれぞれ公開し、脆弱性に対処したことを明らかにした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.