NEWSNews vom 10.12.2009
LANTIME Firmware Update: NTP Sicherheitsproblem mit Mode 7 Paketen
Das problematische Fehlverhalten des NTP Dienstes kann durch das Versenden eines fehlerhaften Mode 7 Controlpaketes ausgelöst werden. Die Firmware Updates V5.30g und V4.57, die dieses Problem beheben, stehen bereits zur Verfügung. Sollte das Einspielen eines Firmware Updates nicht sofort möglich sein, wird als Sofortmassnahme für alle LANTIME Produkte und Firmwareversionen empfohlen, durch eine Konfigurationsänderung den Empfang und die (fehlerhafte) Bearbeitung von Mode 7 Paketen abzustellen.
Um das zu erreichen, müssen in der NTP Konfigurationsdatei sogenannte restrict Anweisungen eingefügt werden. Das ist ohne weiteres bei allen LANTIME Firmware Versionen ab V4.00 möglich, indem auf der "NTP" Seite des Web Interfaces die Funktion "Edit Additional NTP Configuration" bzw. "Erweiterten NTP Konfiguration" aufgerufen wird. In der dann editierbaren Datei ntpconf.add müssen mindestens die beiden Zeilen
restrict default noquery restrict 127.0.0.1
eingefügt werden. Das Verwenden von Mode 6 NTP Queries, wie sie z.B. vom ntpq Utility oder vom Meinberg NTP Timeserver Monitor verwendet werden, muss dabei zusätzlich für jede IP Adresse freigeschaltet werden. Soll also ein Administrations-PC oder ein Monitoring System mit der IP Adresse 192.168.0.122 weiterhin die Möglichkeit haben, ntpq Anfragen zu stellen, kann das durch das Hinzufügen der Zeile
restrict 192.168.0.122
in der oben genannten Datei erreicht werden. Zu beachten ist dabei, dass durch ein fehlerhaftes Paket mit gefälschter Absenderadresse 192.168.0.122 weiterhin die Gefahr besteht, dass das in NTP Bug 1331 beschriebene Fehlverhalten provoziert werden kann.
Aus diesem Grund hat Meinberg auf seinen Webservern Firmware Updates für alle V4 und V5 Firmware Versionen bereitgestellt, in denen ein Fix für den auf ntp.org beschriebenen Bug enthalten ist.
Um Herauszufinden, welche Firmware-Generation auf Ihrem LANTIME installiert ist, melden Sie sich bitte am Web Interface Ihres LANTIME NTP Zeitservers an und prüfen Sie, welche Version in der "Lantime" Zeile im Hauptmenü angezeigt wird. Das kann entweder "V4.x" oder "V5.x" sein, wobei "x" eine zweistellige Zahl ist. Bei V5 Firmware Versionen kann dahinter noch ein Kleinbuchstabe auf die Bugfix-Release-Version hindeuten.
Haben Sie eine Firmware Version V3 oder älter (Geräte, die mindestens 5 Jahre alt sind), dann wenden Sie sich bitte an den Meinberg Support.
Für V4 können Sie ein Update auf V4.57 hier herunterladen:
https://www.meinberg.de/download/firmware/lantime/lt_update_v405_to_v457_Meinberg.tgz
Bei V5 Firmware-Versionen ab 5.24 kann direkt das folgende Update auf V5.30g eingespielt werden:
https://www.meinberg.de/download/firmware/lantime/v5/5.10-to-5.30g.upd
Sollten Sie einen V5 Firmwarestand vor 5.24 einsetzen, ist vor dem Einspielen der oben genannten 5.30g Version noch ein Zwischenupdate auf die 5.28j zu installieren. Dieses können Sie hier herunterladen:
https://www.meinberg.de/download/firmware/lantime/v5/5.10-to-5.28j.upd
Das Einspielen eines Updates funktioniert über das Web Interface:
- Melden Sie sich am Web Interface an
- Rufen Sie die "Local" bzw. "Lokal" Seite auf
- Benutzen Sie im Abschnitt "Firmware Update" den "Durchsuchen" bzw. "Browse" Button, um das vorher heruntergeladenen jeweilige Firmware-Update auszuwählen
- Starten Sie das Firmware Update über den entsprechenden Button ("Start Firmware Update")
Da die Problematik sehr viele NTP Versionen betrifft, haben oder werden die meisten Betriebssystem-Anbieter, deren Produkte eine betroffene Version von NTP enthalten, entsprechende Sicherheitsupdates zur Verfügung stellen. Meinberg empfiehlt daher auch alle bei Ihnen eingesetzten NTP Versionen auf Ihren Servern und Workstations zu überprüfen und ggf. zu aktualisieren. Für die Windows Version von NTP bietet Meinberg auf seiner NTP Download Seite bereits die aktualisierte Version 4.2.4p8 zum freien Download an.
