Meinberg Security Advisory [MBGSA-1802] NTP (kritisch) und OpenSSL für LANTIME 6.24.015

Vor kurzem wurden mehrere Sicherheitsschwachstellen in NTP ntp-4.2.8p11 und OpenSSL 1.0.2o erkannt und behoben. Die LANTIME Firmware Version 6.24.015 enthält daher die neueste NTP und OpenSSL Version, um die Sicherheitsprobleme zu beheben.

CVE-IDs:

• NTP:
  CVE-2018-12327 (CVSSv3 Score: 9.8),
  CVE-2018-7170 (CVSSv3 Score: 6.5)
• OpenSSL:
  CVE-2018-0732 (CVSSv3 Score: 7.5)

Aktualisierte Versionen:

• NTP: ntp-4.2.8p12
  OpenSSL: 1.0.2o

1. Beschreibung der Probleme

   Die Sicherheitsschwachstellen werden auf den jeweiligen Herstellerseiten und in der NIST NVD Datenbank detailliert beschrieben. Die Links zu den Beschreibungen finden Sie unter 4 Weitere Informationen.

2. Betroffene Systeme

   Alle LANTIME Firmware Versionen vor V6.24.015 und NTP für Windows, Versionen vor ntp-4.2.8p12, sind von den jeweiligen genannten Schwachstellen betroffen. Die LANTIME Firmware wird von allen Geräten der Meinberg LANTIME M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100) verwendet.

   Ob und in welchem Maß einzelne Kunden bzw. LANTIME Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.

3. Mögliche Verteidigungsstrategien

   Die Sicherheitspatches für ntpq, ntpdc und OpenSSL sind in der LANTIME Firmware Version 6.24.015 und in dem NTP-Paket für Windows ntp-4.2.8p12 enthalten.

   • Meinberg LANTIME Firmware

   • Meinberg NTP für Windows

   Alle Aktualisierungen sind für Meinberg Kunden ab sofort erhältlich. Es wird dringend empfohlen die LANTIME V5 und V6 Versionen, auf 6.24.015 zu aktualisieren. Bitte kontaktieren Sie Ihren Meinberg Support, wenn Sie dafür Unterstützung benötigen oder Fragen haben.

4. Weitere Informationen

   Weitere Details und Informationen finden Sie auf den jeweiligen Webseiten:

   • ntp:
     • https://nvd.nist.gov/vuln/detail/CVE-2018-12327
     • https://nvd.nist.gov/vuln/detail/CVE-2018-7170
     • http://support.ntp.org/bin/view/Main/SecurityNotice
   • OpenSSL::
     • https://nvd.nist.gov/vuln/detail/CVE-2018-0732
     • https://www.openssl.org/news/secadv/20180612.txt

   Zögern Sie bitte nicht, Ihren Meinberg Support zu kontaktieren, wenn Sie weitere Fragen haben oder Unterstützung benötigen.