Meinberg Security Advisory: [MBGSA-2020.02] Meinberg-LANTIME-Firmware V7.00.010 und V6.24.026

Die LANTIME-Firmware-Versionen 7.00.010 und 6.24.026 beinhalten eine Aktualisierung der ntp-Software (ntp-4.2.8p15) aufgrund einer gefundenen Schwachstelle. Des Weiteren ist in diesem Security Advisory eine Zusammenfassung weiterer behobener Schwachstellen der letzten LTOS Versionen enthalten.

Es wird empfohlen eine Aktualisierung auf die V7.00.010 durchzuführen.

Einschätzung des Bedrohungsgrades

• LANTIME-Firmware V7.00.007: Bedrohungsgrad hoch (2), mittel (4), gering (2), keine Angabe (1)
• LANTIME-Firmware V7.00.008: Bedrohungsgrad hoch (1), mittel (1), gering (0), keine Angabe (0)
• LANTIME-Firmware V7.00.009: Bedrohungsgrad hoch (0), mittel (1), gering (0), keine Angabe (0)

• LANTIME-Firmware V6.24.024: Bedrohungsgrad hoch (1), mittel (4), gering (1), keine Angabe (1)
• LANTIME-Firmware V6.24.025: Bedrohungsgrad hoch (0), mittel (1), gering (0), keine Angabe (0)

Aktuellste Versionen:

• LANTIME-Firmware: V7.00.010 (Veröffentlicht am 03.07.2020)
• LANTIME-Firmware: V6.24.026 (Veröffentlicht am 05.08.2020)

1. Beschreibung der Sicherheitsschwachstellen

   • Software von Drittherstellern:

     • ntp-4.2.8p13:
       

       • Sec 3610 - short packets (keine Angabe)
         ntp-4.2.8p14 release notes:
         http://support.ntp.org/bin/view/Main/SecurityNotice#Recent_Vulnerabilities
         Bereinigt ab:
         V7.00.008 MBGID-1993 und V6.24.025 MBGID-9014

       • Sec 3596 - Unauthenticated IPv4 spoof attack (mittel)
         ntp-4.2.8p14 release notes:
         http://support.ntp.org/bin/view/Main/SecurityNotice#Recent_Vulnerabilities
         Bereinigt ab:
         V7.00.008 MBGID-1993 und V6.24.025 MBGID-9014

       • Sec 3592 - DoS Attack on unauthenticated client. (mittel)
         ntp-4.2.8p14 release notes:
         http://support.ntp.org/bin/view/Main/SecurityNotice#Recent_Vulnerabilities
         Bereinigt ab:
         V7.00.008 MBGID-1993 und V6.24.025 MBGID-9014

     • ntp-4.2.8p14:
       

       • Sec 3661 - Memory leak with CMAC keys. (mittel)
         ntp-4.2.8p15 release notes:
         http://support.ntp.org/bin/view/Main/SecurityNotice#Recent_Vulnerabilities
         Bereinigt ab:
         V7.00.010 MBGID-2521 und V6.24.026 MBGID-9122

     • OpenSSL-1.1.1d:
       

       • CVE-2019-1551 - Exposure of sensitive information to an unauthorized actor (gering)
         OpenSSL-1.1.1e security advisory:
         https://www.openssl.org/news/vulnerabilities.html
         Bereinigt ab:
         V7.00.008 MBGID-2376 und bereits ab V6.24.024 MBGID-8905 mit dem OpenSSL-Update auf 1.0.2u

     • OpenSSL-1.1.1f:
       

       • CVE-2020-1967 - NULL pointer dereference resulting in Denial Of Sevice (hoch)
         OpenSSL-1.1.1g security advisory:
         https://www.openssl.org/news/vulnerabilities.html
         Bereinigt ab:
         V7.00.009 MBGID-2522 (V6.24.024 ist nicht betroffen)

   • Webinterface

     (Der jeweilige Workaround sollte nur angewendet werden, wenn es keine Möglichkeit zum Update gibt.)
     
     

     • NO-CVE1 - Information Disclosure (mittel)
       Info-User konnten durch einen selbsterstellten POST die Konfigurationsänderungen anzeigen lassen. Dies war nur möglich, solange diese nicht als Startkonfiguration gespeichert oder verworfen wurden.
       Bereinigt ab:
       V7.00.008 MBGID-1958 und V6.24.025 MBGID-9012
       Workaround:
       Info-Usern den Zugriff entziehen.

     • NO-CVE2 - Information Disclosure (hoch)
       Authentifizierte Benutzer konnten sich Metainformationen anderer angemeldeter Benutzer für sehr kurze Zeiträume anzeigen lassen (immer dann, wenn ein anderer Benutzer eine Seite aufgerufen hat). Unter diesen Informationen waren auch Anmeldeinformationen.
       Bereinigt ab:
       V7.00.008 MBGID-1958 und V6.24.025 MBGID-9012
       Workaround:
       Webinterface deaktivieren (HTTP/HTTPS deaktivieren) oder nur einen Benutzer einrichten.

     • NO-CVE3 - Insufficient Access Control (gering)
       Authentifizierte Benutzer konnten im Falle einer Zugriffssperre über die IP-Adresse dennoch Funktionen im Webinterface ausführen.
       Bereinigt ab:
       V7.00.008 MBGID-1975 und V6.24.025 MBGID-9013
       Workaround:
       Webinterface deaktivieren (HTTP/HTTPS deaktivieren).

2. Betroffene Systeme

   Alle LANTIME-Firmware-Versionen vor V7.00.010 (bzw. V6.24.026) sind von Schwachstellen betroffen. Die LANTIME-Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der IMS-LANTIME-Serie (M500, M1000, M1000S, M2000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100) verwendet.

   Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.

3. Mögliche Sicherheitsmaßnahmen

   Die Sicherheitspatches und die Updates von NTP und OpenSSL sind in den LANTIME-Firmware-Versionen V7.00.010 und V6.24.026 enthalten. Eine Aktualisierung auf diese Versionen behebt die gelisteten Sicherheitsschwachstellen.

   Download der neusten LANTIME-Firmware unter:

   • Meinberg-LANTIME-Firmware

   Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware auf die letzte Version 7.00.010 zu aktualisieren. Kunden die keine Möglichkeit haben 7.00.010 zu installieren, können auf die V6.24.026 zurückgreifen.

4. Weitere Informationen

   Weitere Details und Informationen finden Sie auf der folgenden Webseite:

   • Changelogs: LANTIME-Firmware V7.00.010
   • Changelogs: LANTIME-Firmware V6.24.026

   Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.

5. Danksagung

   Wir möchten uns vielmals bei allen bedanken, die uns auf Schwachstellen, andere Fehler oder Verbesserungen hinwiesen.
   Vielen Dank!