Meinberg Security Advisory: [MBGSA-1605] NTP und andere

Die Network Time Foundation hat eine neue NTP Version veröffentlicht, die eine Reihe von Schwachstellen schließt. Diese neue NTP Version 4.2.8p9 ist im aktuellen LTOS6 Firmware Release enthalten, das außerdem noch einige andere sicherheitsrelevante Aktualisierungen beinhaltet. Neben einer Lücke im Linux Kernel sind die neuesten stabilen Versionen von OpenSSL und OpenSSH enthalten.

CVE-IDs:

NTP: CVE-2016-9311 CVE-2016-9310 CVE-2016-7427 CVE-2016-7428 CVE-2016-7431 CVE-2016-7434 CVE-2016-7429 CVE-2016-7426 CVE-2016-7433

Linux Kernel: CVE-2016-5195

OpenSSH: CVE-2016-6210 CVE-2015-8325

OpenSSL: CVE-2016-6304 CVE-2016-6305 CVE-2016-2183 CVE-2016-6303 CVE-2016-6302 CVE-2016-2182 CVE-2016-2180 CVE-2016-2177 CVE-2016-2178 CVE-2016-2179 CVE-2016-2181 CVE-2016-6306 CVE-2016-6307 CVE-2016-6308

1. Beschreibung des Problems

Es wurden mehrere Sicherheitslücken in NTP Versionen bis einschließlich 4.2.8p8 gefunden, die durch die neue NTP Version 4.2.8p9 geschlossen werden. Diese Version wurde gestern von der Network Time Foundation veröffentlicht. Außerdem wurde vor Kurzem ein sicherheitsrelevanter Bug im Linux Kernel entdeckt, dem der Spitzname "Dirty Cow" gegeben wurde. Dieser Bug ermöglicht einem lokalen Benutzer den Schreibzugriff auf eigentlich schreibgeschützte Speicherbereiche und kann ausgenutzt werden, um beliebigen Code mit einer höheren als der eigenen Berechtigungsstufe auszuführen. Diese Sicherheitslücke existiert bereits nach Angaben von Linus Torvalds seit über 11 Jahren im Linux Kernel.

Kürzlich veröffentlichte Updates der stabilen Versionen von OpenSSL (Version 1.0.2j) und OpenSSH (Version 7.3p1) schließen ebenfalls eine Reihe von Sicherheitslücken. Details über diese Schwachstellen können in den Release Notes der jeweiligen Softwarekomponente nachgelesen werden (siehe unten).

2. Betroffene Systeme

Alle LANTIME, SyncFire und LCES Firmware Versionen vor 6.20.014 sind von den aufgeführten Problemen betroffen. Der "Dirty Cow" Kernel Bug erfodert es, dass ein lokaler nicht privilegierter Nutzer eigene Programme ausführen kann, das ist auf LTOS6 Systeme grundsätzlich nicht vorgesehen und möglich. Daher wird für die Ausnutzung dieses Bugs mindestens eine weitere Schwachstelle benötigt.

Die Windows Version von NTP Windows Installer für NTP ist ebenfalls betroffen. Vor allem CVE-2016-9312 ist eine Windows-spezifische Schwachstelle, die eine hohe Einstufung hat und einen Denial-of-Service Angriff auf NTP erlaubt.

3. Mögliche Verteidigungsstrategien

Meinberg Produkte

Alle aufgelisteten Schwachstellen werden durch ein Update auf LTOS6 Version 6.20.014 geschlossen, das ab heute zur Verfügung steht.

Die meisten der gefundenen Schwachstellen sind als "mittelschwer" oder "leicht" eingestuft, aber allein die Anzahl der geschlossenen Lücken legt es nahe, das Update einzuspielen. Meinberg empfiehlt dringend die Installation, um sicherzugehen, dass Ihre Meinberg LANTIME und SyncFire Systeme geschützt sind.

Meinberg LANTIME Firmware Updates

Für V5 Versionen und alle älteren V6 Versionen empfehlen wir ebenfalls dringend ein Update auf 6.20.014. Bitte wenden Sie sich an Ihren Meinberg Support, wenn Sie Unterstützung benötigen oder weitere Fragen haben.

Windows NTP Installationen

Meinberg bietet seit Jahren einen kostenlosen NTP Installer an, der von unserer NTP für Windows Download Seite heruntergeladen werden kann. Die aktuelle Version des Installers enthält bereits 4.2.8p9, der Installer fragt beim Start, ob er die ggf. existierende NTP Version ersetzen soll. Dieses Schnell-Update reicht aus, um die Version 4.2.8p9 zu installieren und damit die Sicherheitslücken zu schliessen.

Andere NTP Installationen

Bitte wenden Sie sich an den Support Ihres Betriebssystem/NTP Herstellers und fragen nach Möglichkeiten, ntp-4.2.8p9 zu installieren.

4. Weitere Informationen

Weitere Details und Informationen finden Sie auf den folgenden Websites:

NTP 4.2.8p9 Ankündigung auf der Network Time Foundation Website
OpenSSL Security Advisory 160926 beschreibt die Schwachstellen, die durch OpenSSL 1.0.2j geschlossen werden
OpenSSL Security Advisory 160922 beschreibt die Schwachstellen, die durch OpenSSL 1.0.2i geschlossen werden
OpenSSH 7.3 Release Notes beschreiben die Fehlerbehebungen und Verbesserungen

Zögern Sie bitte nicht, Ihren Meinberg Support zu kontaktieren, wenn Sie weitere Fragen haben oder Unterstützung benötigen.