News vom 28.06.2016
Meinberg Security Advisory: [MBGSA-1604] Web Interface und NTP
Er hat die Probleme vor einiger Zeit direkt an Meinberg gemeldet, daraufhin wurde in enger Zusammenarbeit mit ihm ein Fix für die gefundenen Lücken entwickelt und getestet. Kurz darauf hat die Network Time Foundation NTP Version 4.2.8p8 veröffentlicht, das eine schwerwiegende und vier weitere, nicht so kritische Sicherheitslücken in der Referenz-Implementierung von NTP schliesst..
CVE-IDs:
Meinberg WebUI: CVE-2016-3962, CVE-2016-3988, CVE-2016-3989NTP: CVE-2016-4953, CVE-2016-4954, CVE-2016-4955, CVE-2016-4956, CVE-2016-4957
1. Beschreibung des Problems
Die Stack Overflow und Privilege Escalation Sicherheitslücken, die im Web Interface von Meinberg LTOS6 basierenden Produkten gefunden wurden, erlauben die Ausführung von Skripten mit Super User Rechten. Um diese Lücken auszunutzen, muss der Angreifer Zugriff auf das Web Interface eines betroffenen Gerätes haben.Das NTP Projekt der Network Time Foundation patched mit Version 4.2.8p8 einige unkritische und eine schwerwiegende Sicherheitslücke. In der Beschreibung bei CERT.org wird erklärt, dass dadurch Hacker auch ohne Authentifikation spezielle Netzwerkpakete senden können, die zu einem Denial-of-Service führen können, d.h. den NTP Dienst abstürzen lassen oder unbrauchbar machen.
Meinberg empfiehlt daher dringend, alle LANTIME, SyncFire und LCES Geräte auf die Firmware Version LTOS 6.20.005 zu aktualisieren. Ein Download-Link kann mithilfe des weiter unten stehenden Weblinks angefragt werden.
2. Betroffene Systeme
Alle LANTIME, SyncFire und LCES Firmware Versionen vor 6.20.005 sind von den beschriebenen Sicherheitslücken betroffen.
3. Mögliche Verteidigungsstrategien
Meinberg Produkte
Alle beschriebenen Probleme werden durch die Installation der Firmware Version 6.20.005 behoben, die ab sofort verfügbar ist.
Meinberg LANTIME Firmware Updates
Für alle V5 und V6 Versionen empfehlen wir dringend ein Update auf 6.20.005 so bald wie möglich. Bitte wenden Sie sich an Ihren zuständigen Technischen Support Kontakt, wenn Sie weitere Unterstützung brauchen oder noch Fragen haben.
Windows NTP Installationen
Meinberg bietet seit Jahren einen kostenlosen NTP Installer an, der von unserer NTP für Windows Download Seite heruntergeladen werden kann. Die aktuelle Version des Installers enthält bereits 4.2.8p8, der Installer fragt beim Start, ob er die ggf. existierende NTP Version ersetzen soll. Dieses Schnell-Update reicht aus, um die Version 4.2.8p8 zu installieren und damit die Sicherheitslücken zu schliessen.
Andere NTP Installationen
Bitte wenden Sie sich an den Support Ihres Betriebssystem/NTP Herstellers und fragen nach Möglichkeiten, ntp-4.2.8p8 zu installieren.
4. Weitere Informationen
Weitere Details und Informationen finden Sie auf den folgenden Websites:
ICS-CERT Advisory
describing the vulnerabilities affecting Meinberg NTP servers
CERT.org Vulnerability Note VU#321640
covering the NTP vulnerabilities
SecurityWeek News Article
about the vulnerabilities of Meinberg NTP Servers
Zögern Sie bitte nicht, Ihren Meinberg Support zu kontaktieren, wenn Sie weitere Fragen haben oder Unterstützung benötigen.