News vom 13.04.2023


Stellungnahme zu den am 12.04.2023 gemeldeten Schwachstellen im NTP-Projekt

Update 14.04.2023, 11:00 Uhr MESZ: Wir weisen darauf hin, dass die ntpq-Implementation von LTOS, meinbergOS sowie das NTP for Windows-Paket, das von Meinberg vertrieben wird, zwar von diesen Schwachstellen betroffen sind, allerdings kein Risiko darstellen, solange ntpq nicht zur manuellen Abfrage von NTP-Servern über eine unsichere Verbindung, wie z. B. das Internet, verwendet wird. Meinberg-Systeme mit LTOS oder meinbergOS als Betriebssystem fragen keinen Remote-Server automatisch über ntpq ab.

Sofern Benutzer mit ntpq Server über eine unsichere Verbindung abfragen müssen, wird als provisorische Lösung empfohlen, ntpq mit dem Parameter -c raw auszuführen.

Um beispielsweise die Peer-Liste mit ntpq abzurufen wird Folgendes eingegeben: ntpq -c raw -c peers

So wird sichergestellt, dass die von der ntpd-Instanz des abgefragten Servers zurückgesandten Daten nicht durch ntpq formatiert werden. Hierdurch wird die gefährdete Funktion komplett umgangen. Vielen Dank an Miroslav Lichvar für diesen Hinweis.

Sicherheitsupdates für LTOS und meinbergOS sowie ein neues "NTP for Windows"-Paket werden bereitgestellt, sobald das NTP Project seinerseits ein Update veröffentlicht hat.

Update 13.04.2023, 17.30 Uhr MESZ: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach Überprüfung der Meldung die Einstufung auf "mittel" abgesenkt und dabei das Risiko eines Remote-Angriffs ausgeschlossen. Unsere eigene Analyse hat eine ähnliche Schlussfolgerung erreicht, dass die Schwachstellen nicht kritisch sind und sich leicht beheben lassen.

Meinberg ist sich der fünf Schwachstellen bewusst, die am 12. April 2023 veröffentlicht wurden und sich auf das Paket ntp-4.2.8p15 beziehen. Diese wurden ursprünglich vom Bundesamt für Sicherheit in der Informationstechnik als "kritisch" eingestuft. Die Einstufung wurde dann später auf "mittel" abgesenkt.

Wir haben das Risiko eines Exploits für die ntpd- und ntpq-Implementationen in Meinberg-Produkten untersucht und stellen fest, dass die gefundenen Schwachstellen keine Gefahr eines Remote-Angriffs auf Meinberg-Produkte darstellen.

Vier der Schwachstellen (CVE-2023-26551, CVE-2023-26552, CVE-2023-26553, CVE-2023-26554) beziehen sich auf ntpq, welches nicht dauerhaft läuft, sondern von einem System-Administrator ausgeführt wird, um Daten von ntpd abzurufen. So müssten bei diesem Exploit für diese Schwachstelle manipulierte Daten von ntpd übermitteln werden. ntpd ist von diesen Schwachstellen nicht betroffen.

Die fünfte Schwachstelle (CVE-2023-26555) bezieht sich auf einen obsoleten seriellen Referenzuhr-Treiber des NTP Projects, der in Meinberg-Produkten nicht verwendet wird.

Weitere Informationen und eine Diskussion zu den Schwachstellen sind unter folgenden Links verfügbar:

https://github.com/spwpun/ntp-4.2.8p15-cves

https://github.com/spwpun/ntp-4.2.8p15-cves/issues/1

Weitere Maßnahmen
Wir haben die Entwickler des NTP Projects kontaktiert und ein Patch befindet sich in der Entwicklung.


Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact