NTPにDoSの脆弱性、更新版で対処

最新版となる「ntp-4.2.8p9」では危険度「高」の1件を含めて合計10件の脆弱性が修正された。

» 2016年11月22日 07時17分 公開
[鈴木聖子ITmedia]

 インターネット経由での時刻取得に使われるNetwork Time Protocol(NTP)の更新版が11月21日に公開され、サービス妨害(DoS)などの脆弱性が修正された。

 NTP.orgや米CERT/CCのセキュリティ情報によると、最新版となる「ntp-4.2.8p9」では危険度「高」の1件を含めて合計10件の脆弱性を修正したほか、28件の不具合などセキュリティ以外の問題にも対処した。

 最も危険度の高い脆弱性はWindowsのみに影響する。ntpdのトラップサービスが有効にされている場合、攻撃者が細工を施したパケットを送り付けることによってnullポインタの逆参照が誘発され、ntpdがクラッシュしてサービス妨害状態(DoS)に陥る可能性がある。トラップサービスはデフォルトでは無効になっているという。

 危険度は共通脆弱性評価システム(CVSS)のベーススコアで7.8(最大値は10.0)。残る9件の脆弱性は危険度「中」〜「低」に分類されている。

修正された脆弱性

Copyright © ITmedia, Inc. All Rights Reserved.