News vom 21.10.2015
Meinberg Security Advisory: [MBGSA-1502] NTP Sicherheitslücken und OpenSSL und OpenSSH Updates
Die neue LANTIME Firmware Version 6.18.007 enthält NTP 4.2.8p4 und aktualisiert ausserdem OpenSSL auf die aktuellste stabile SSL Version 1.0.2d von OpenSSL.org. Weiterhin wird die in der LANTIME Firmware enthaltene OpenSSH Software auf den neuesten Stand 7.1 gebracht.
CVE-IDs:
[NTP]:
CVE-2015-7871
CVE-2015-7855
CVE-2015-7854
CVE-2015-7853
CVE-2015-7852
CVE-2015-7851
CVE-2015-7850
CVE-2015-7849
CVE-2015-7848
CVE-2015-7701
CVE-2015-7703
CVE-2015-7704
CVE-2015-7691
(Zum Zeitpunkt der Veröffentlichung dieses MBGSA stehen unter Umständen noch nicht alle CVE Einträge auf der NVD Website zur Verfügung)
Update: Der NTP Installer für Windows wurde soeben aktualisiert und installiert nun NTP Version 4.2.8p4.
1. Beschreibung des Problems
Die Referenz-Implementierung von NTP enthält eine Reihe von Bugs, die sicherheitsrelevant sein können.Die Network Time Foundation hat heute die Verfügbarkeit der neuesten stabilen NTP Version 4.2.8p4 bekanntgegeben, die 13 entdeckte Schwachstellen schliesst. Als Mitglied des NTP Consortium der Network Time Foundation hat Meinberg bereits vor der Veröffentlichung der NTP Version Zugang zu den Fixes erhalten und konnte diese in ihre aktuelle stabile Firmware Version 6.18.007 aufnehmen, die für LANTIME und SyncFire Produkte zur Verfügung steht.
Details über die entdeckten Schwachstellen können in der offiziellen Bekanntmachung des NTP Projekts nachgelesen werden: NTP 4.28p4 Announcement.
2. Betroffene Systeme
Alle LANTIME Firmware Versionen vor V6.18.007 sind theoretisch von den Bugs und Schwachstellen betroffen.
3. Mögliche Gegenmaßnahmen
Meinberg Produkte
Alle genannten Schwachstellen werden in der NTP Version 4.2.8p4, die im Rahmen des LANTIME FIrmware Release 6.18.007 zur Verfügung gestellt wird, korrigiert bzw. geschlossen. Alle V5 Systeme und V6 Systeme sollten auf diese Version aktualisiert werden.
Meinberg LANTIME Firmware Updates
Wir empfehlen, die betroffenen Systeme so schnell wie möglich auf die neue Firmware Version 6.18.007 zu aktualisieren. Bitte kontaktieren Sie Ihren Meinberg Support, wenn Sie dabei Unterstützung benötigen oder Fragen haben.
Andere NTP Installationen
Bitte nehmen Sie Kontakt zu Ihrem Betriebssystem-Hersteller auf, um zu erfahren ob Ihr System betroffen ist und wenn ja, wie Sie die NTP Version aktualisieren können. Wenn Sie unseren NTP Installer für Windows verwenden, laden Sie die aktuelle Version herunter und aktualisieren Sie bitte Ihre Installationen mithilfe des "Update Binaries Only" Features des Installers.
4. Weitere Quellen
Mehr über diese Sicherheitsprobleme können Sie auf den folgenden Websites erfahren:
October 2015 Security Notice des NTP Public Services Project
Attacking the Network Time Protocol Beschreibung vom Entdecker (Boston University)
Cisco Security Advisory
Bitte zögern Sie nicht, Ihren Meinberg Support zu kontaktieren, wenn Sie noch Fragen haben oder Unterstützung benötigen.