Alle veröffentlichten Meinberg Security Advisories
2024-02-27Meinberg Security Advisory: [MBGSA-2024.02] LANTIME-Firmware V7.08.009
Details
Die LANTIME-Firmware-Version 7.08.009 beinhaltet Sicherheits-Updates diverser Bibliotheken und Programme.
Meinberg
empfiehlt eine Aktualisierung auf die Version 7.08.009 durchzuführen.
News-Artikel Schließen
2024-01-31Meinberg Security Advisory: [MBGSA-2024.01] LANTIME-Firmware V7.08.007
Details
Die LANTIME-Firmware-Version 7.08.007 beinhaltet Sicherheits-Updates diverser Bibliotheken und Programme.
Meinberg
empfiehlt eine Aktualisierung auf die Version 7.08.007 durchzuführen.
News-Artikel Schließen
2023-10-26Meinberg Security Advisory: [MBGSA-2023.05] LANTIME-Firmware-Version 7.08.004
Details
Die LANTIME-Firmware-Version 7.08.004 beinhaltet Sicherheits-Updates diverser Bibliotheken und Programme. Außerdem behebt dieses Update weitere im Advisory genannte Schwachstellen des LANTIME OS.
Meinberg
empfiehlt eine Aktualisierung auf die Version 7.08.004 durchzuführen.
News-Artikel Schließen
2023-08-16Meinberg Security Advisory: [MBGSA-2023.04] LANTIME-Firmware V7.08.002
Details
Die LANTIME-Firmware-Version 7.08.002 beinhaltet Sicherheits-Updates diverser Bibliotheken und Programme. Außerdem behebt dieses Update weitere im Advisory genannte Schwachstellen des LANTIME OS.
Meinberg
empfiehlt eine Aktualisierung auf die Version 7.08.002 durchzuführen.
News-Artikel Schließen
2023-05-23Meinberg Security Advisory: [MBGSA-2023.03] LANTIME-Firmware V7.06.014
Details
Die LANTIME-Firmware-Version 7.06.014 beinhaltet Sicherheits-Updates diverser Bibliotheken und Programme.
Meinberg
empfiehlt eine Aktualisierung auf die Version 7.06.014 durchzuführen.
News-Artikel Schließen
2023-04-13Stellungnahme zu den am 12.04.2023 gemeldeten Schwachstellen im NTP-Projekt
Details
Update 14.04.2023, 11:00 Uhr MESZ: Wir weisen darauf hin, dass die
ntpq-Implementation von LTOS, meinbergOS sowie das NTP for Windows-Paket, das von Meinberg vertrieben wird, zwar von diesen Schwachstellen betroffen sind, allerdings kein Risiko darstellen, solange
ntpq nicht zur manuellen Abfrage von NTP-Servern über eine unsichere Verbindung, wie z. B. das Internet, verwendet wird. Meinberg-Systeme mit LTOS oder meinbergOS als Betriebssystem fragen keinen Remote-Server automatisch über
ntpq ab.
Sofern Benutzer mit
ntpq Server über eine unsichere Verbindung abfragen müssen, wird als provisorische Lösung empfohlen,
ntpq mit dem Parameter
-c raw auszuführen.
Um beispielsweise die Peer-Liste mit ntpq abzurufen wird Folgendes eingegeben:
ntpq -c raw -c peers
So wird sichergestellt, dass die von der
ntpd-Instanz des abgefragten Servers zurückgesandten Daten nicht durch
ntpq formatiert werden. Hierdurch wird die gefährdete Funktion komplett umgangen.
Vielen Dank an Miroslav Lichvar für diesen Hinweis.
Sicherheitsupdates für LTOS und meinbergOS sowie ein neues "NTP for Windows"-Paket werden bereitgestellt, sobald das NTP Project seinerseits ein Update veröffentlicht hat.
Update 13.04.2023, 17.30 Uhr MESZ: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach Überprüfung der Meldung die Einstufung auf "mittel" abgesenkt und dabei das Risiko eines Remote-Angriffs ausgeschlossen. Unsere eigene Analyse hat eine ähnliche Schlussfolgerung erreicht, dass die Schwachstellen nicht kritisch sind und sich leicht beheben lassen.
News-Artikel Schließen
2023-03-23Meinberg Security Advisory: [MBGSA-2023.02] LANTIME-Firmware V7.06.013
Details
Die LANTIME-Firmware-Version 7.06.013 beinhaltet Sicherheits-Updates diverser Bibliotheken und Programme.
Meinberg
empfiehlt eine Aktualisierung auf die Version 7.06.013 durchzuführen.
News-Artikel Schließen
2023-01-24Meinberg Security Advisory: [MBGSA-2023.01] Meinberg-LANTIME-Firmware V7.06.009 und V6.24.035
Details
Die LANTIME-Firmware-Version 7.06.009 und 6.24.035 beinhalten Sicherheits-Updates diverser Bibliotheken und Programme. Das Update V6.24.035 ist das letzte geplante Update der LTOS-Version 6.
Es wird dringend empfohlen die Geräte, die noch mit einer Version 6 betrieben werden, auf die Version V7.06.009 oder V7.06.009-light zu aktualisieren. Es wird allgemein empfohlen eine Aktualisierung auf die Version 7.06.009 durchzuführen.
News-Artikel Schließen
2022-10-19Meinberg Security Advisory: [MBGSA-2022.04] Meinberg-LANTIME-Firmware V7.06.007 und V6.24.034
Details
Die LANTIME-Firmware-Versionen 7.06.007 und 6.24.034 beinhalten Sicherheits-Updates der
zlib-Bibliothek und des Programms
rsync. Es wird empfohlen, eine Aktualisierung auf die Version 7.06.007 durchzuführen.
News-Artikel Schließen
2022-08-02Meinberg Security Advisory: [MBGSA-2022.03] Meinberg-LANTIME-Firmware V7.06.004 und V6.24.033
Details
Die LANTIME-Firmware-Version 7.06.004 und 6.24.033 beinhalten Sicherheits-Updates der curl-Bibliothek. Des Weiteren wurde eine Schwachstelle behoben, die es ermöglichte lokale Benutzernamen zu ermitteln.
Es wird empfohlen eine Aktualisierung auf die Version 7.06.004 durchzuführen.
News-Artikel Schließen
2022-05-23Meinberg Security Advisory: [MBGSA-2022.02] Meinberg-LANTIME-Firmware V7.04.017 und V6.24.032
Details
Die LANTIME-Firmware-Versionen 7.04.017 und 6.24.032 beinhalten Sicherheits-Updates der OpenSSL- und zLib-Bibliothek.
Es wird empfohlen eine Aktualisierung auf die Version 7.04.017 durchzuführen.
News-Artikel Schließen
2022-04-05Meinberg Security Advisory: [MBGSA-2022.01] Meinberg-LANTIME-Firmware V7.04.015 und V6.24.030
Details
Die LANTIME-Firmware-Versionen 7.04.015 und 6.24.030 beinhalten Sicherheits-Updates der OpenSSL- und Expat-Bibliothek. Die 7.04.015 beinhaltet zudem eine Überarbeitung der REST-API, um die im Advisory genannten Schwachstellen zu beheben.
Es wird empfohlen, eine Aktualisierung auf die Version 7.04.015 durchzuführen.
News-Artikel Schließen
2021-12-13Meinberg LANTIME- und microSync-Systeme nicht durch Log4j Sicherheitslücke gefährdet
Details
Aufgrund erhöhter Nachfragen unserer Kunden weisen wir darauf hin, dass kein
LANTIME oder
microSync Produkt von der Zero Day Sicherheitslücke betroffen ist, die in der Java Bibliothek
Log4j gefunden wurde. Es besteht also kein Handlungsbedarf für diese Meinberg-Produkte.
News-Artikel Schließen
2021-11-15Meinberg Security Advisory: [MBGSA-2021.03] Meinberg-LANTIME-Firmware V7.04.008 und V6.24.029
Details
Die LANTIME-Firmware-Version 7.04.008 und 6.24.029 beinhalten ein Kernel-Update, Updates von Werkzeugen und Änderungen des Web-Interfaces, um die im Advisory genannte Schwachstelle zu beheben.
Es wird empfohlen eine Aktualisierung auf die Version 7.04.008 durchzuführen.
News-Artikel Schließen
2021-04-20Meinberg Security Advisory: [MBGSA-2021.02] Meinberg-LANTIME-Firmware V7.02.003 und V6.24.028
Details
Die LANTIME-Firmware-Version 7.02.003 und 6.24.028 beinhalten Updates von OpenSSL und sudo sowie Änderungen des Web-Interfaces, um die im Advisory genannte Schwachstelle zu beheben.
Es wird empfohlen eine Aktualisierung auf die Version 7.02.003 durchzuführen.
News-Artikel Schließen
2021-01-04Meinberg Security Advisory: [MBGSA-2021.01] Meinberg-LANTIME-Firmware V7.00.014 und V6.24.027
Details
Die LANTIME-Firmware-Versionen 7.00.014 und 6.24.027 beinhalten ab sofort die OpenSSL Version 1.1.1i, um die im Advisory genannte OpenSSL-Schwachstelle zu beheben.
Es wird empfohlen eine Aktualisierung auf die Version 7.00.014 durchzuführen.
News-Artikel Schließen
2020-08-10Meinberg Security Advisory: [MBGSA-2020.02] Meinberg-LANTIME-Firmware V7.00.010 und V6.24.026
Details
Die LANTIME-Firmware-Versionen 7.00.010 und 6.24.026 beinhalten eine Aktualisierung der ntp-Software (ntp-4.2.8p15) aufgrund einer gefundenen Schwachstelle. Des Weiteren ist in diesem Security Advisory eine Zusammenfassung weiterer behobener Schwachstellen der letzten LTOS Versionen enthalten.
Es wird empfohlen eine Aktualisierung auf die V7.00.010 durchzuführen.
News-Artikel Schließen
2020-01-30Meinberg Security Advisory: [MBGSA-2001] Meinberg-LANTIME-Firmware V7 und V6
Details
Die LANTIME-Firmware-Version 6.24.024 erhält eine Aktualisierung (Rückportierung) zur Behebung der wichtigsten Sicherheitsschwachstellen, die bereits ab der LANTIME-Firmware-Version 7.00.002 behoben sind. Zusätzlich zu den Rückportierungen wurden zwei weitere Schwachstellen ab Version 7.00.006 und V6.24.024 behoben.
News-Artikel Schließen
2019-12-09Meinberg Security Advisory: [MBGSA-1904] SyncBox PTP/PTPv2
Details
Die Firmware der SyncBox/PTP und SyncBox/PTPv2 wurde mit vorkonfigurierten SSH-Schlüsseln ausgeliefert. Aus diesem Grund ist ein Werkzeug entwickelt worden, um SSH-Schlüssel automatisiert neu zu erstellen sowie alte und autorisierte Schlüssel zu entfernen. Durch das Einspielen des Werkzeugs über die Update-Funktionalität werden alle SSH-Host-Schlüssel neu generiert. Bei dem nächsten SSH-Anmeldeversuch an einer SyncBox erscheint in Folge dessen, die Warnmeldung, der Host-Schlüssel habe sich geändert.
News-Artikel Schließen
2019-11-21Meinberg Security Advisory: [MBGSA-1903] Meinberg LANTIME Firmware V7
Details
Ein Fehler bei der initialen Generierung von SSH-Schlüsseln in den LANTIME-Firmware-Versionen von 7.00.001 bis einschließlich 7.00.003 wurde erkannt und behoben. Die LANTIME-Firmware-Version 7.00.004 enthält daher eine überarbeitete Schlüsselgenerierungsfunktion. Durch ein Update übernommene oder manuell generierte SSH-Schlüssel sind nicht betroffen. Außerdem wurden einige Werkzeuge mit Schwachstellen auf die jeweilige neueste Version aktualisiert.
News-Artikel Schließen
2019-10-16Meinberg Security Advisory: [MBGSA-1902] Meinberg-LANTIME-Firmware V7
Details
Potentielle Sicherheitsprobleme in den LANTIME-Firmware-Versionen bis einschließlich 6.24.023 wurden erkannt und behoben. Die LANTIMEFirmware-Version 7.00.002 enthält daher eine umfassende Überarbeitung des Webinterfaces und der installierten Programme und Dienste.
News-Artikel Schließen
2019-03-18Meinberg Security Advisory [MBGSA-1901] NTP und OpenSSL für LANTIME-Firmware und NTP für Windows
Details
Potentielle Sicherheitsprobleme in NTP 4.2.8p12 und OpenSSL 1.0.2q wurden erkannt und behoben. Die LANTIME-Firmware-Version 6.24.021 und NTP für Windows ntp-4.2.8p13 enthalten daher die neueste NTP (4.2.8p13) und OpenSSL (1.0.2r) Version.
News-Artikel Schließen
2018-12-03Meinberg Security Advisory [MBGSA-1803]: OpenSSH und OpenSSL für LANTIME OS
Details
Es wurden mehrere Sicherheitsschwachstellen in OpenSSH 7.4p1 sowie OpenSSL 1.0.2p erkannt und behoben. Die LANTIME Firmware Versionen ab 6.24.016 enthalten daher die neueste OpenSSH und OpenSSL Version, um die Sicherheitsprobleme zu beheben.
News-Artikel Schließen
2018-09-27Meinberg Security Advisory [MBGSA-1802] NTP (kritisch) und OpenSSL für LANTIME 6.24.015
Details
Vor kurzem wurden mehrere Sicherheitsschwachstellen in NTP ntp-4.2.8p11 und OpenSSL 1.0.2o erkannt und behoben. Die LANTIME Firmware Version 6.24.015 enthält daher die neueste NTP und OpenSSL Version, um die Sicherheitsprobleme zu beheben.
News-Artikel Schließen
2018-01-16Meinberg Security Advisory [MBGSA-1801]: Spectre und Meltdown
Details
Ein Team von Cybersicherheitsforschern hat kritische Schwachstellen in modernen Prozessoren gefunden, die es Programmen ermöglichen, auf Daten anderer Prozesse zuzugreifen und somit möglicherweise vertrauliche Informationen wie Zugangsdaten, E-Mails, Instant Messages oder Geschäftsdaten abzurufen. Laut Prozessorherstellern sind die meisten verwendeten CPUs in Computern, mobilen Geräten und Embedded Systemen betroffen.
News-Artikel Schließen
2017-12-13Meinberg Security Advisory [MBGSA-1701]: LTOS6 Web Interface
Details
Jakub Palaczynski, unabhängiger IT-Sicherheitsforscher, hat Meinberg über drei Sicherheitslücken in Bezug auf die Web-Benutzerschnittstelle von Meinberg-Systemen, die mit der LTOS6-Firmware laufen, informiert. Diese Schwachstellen wurden in der aktuellen Meinberg LTOS6-Firmware-Version 6.24.004 behoben, die als kostenloses Update für alle Meinberg-Kunden, gemäß der Meinberg "Free Lifetime Security Update-Vereinbarung" verfügbar ist.
Zusätzlich haben wir einen Fehlerbericht von Herrn Johannes Weber erhalten, in dem ein Problem mit der Funktion "automatische Generierung von NTP-Schlüsseln" der WebUI beschrieben wird.
News-Artikel Schließen
2016-12-15Die Schaltsekunde kommt - Sind Sie vorbereitet?
Details
Ende diesen Monats wird eine Schaltsekunde eingefügt. Zeit, noch einmal einen letzten Check zu machen ob Ihre Systeme vorbereitet sind.
News-Artikel Schließen
2016-11-22Meinberg Security Advisory: [MBGSA-1605] NTP und andere
Details
Die
Network Time Foundation hat eine neue NTP Version veröffentlicht, die eine Reihe von Schwachstellen schließt. Diese neue NTP Version 4.2.8p9 ist im aktuellen LTOS6 Firmware Release enthalten, das außerdem noch einige andere sicherheitsrelevante Aktualisierungen beinhaltet. Neben einer Lücke im Linux Kernel sind die neuesten stabilen Versionen von
OpenSSL und
OpenSSH enthalten.
News-Artikel Schließen
2016-08-05Schaltsekunde 2016: Wichtige Informationen für Meinberg Kunden
Details
Am 6. Juli 2016 hat der IERS in seinem Bulletin C bekanntgemacht, dass Ende Dezember eine Schaltsekunde eingeführt wird. Für Anwender von NTP und anderen Synchronisationslösungen sind dabei einige Dinge zu beachten.
News-Artikel Schließen
2016-06-28Meinberg Security Advisory: [MBGSA-1604] Web Interface und NTP
Details
Der unabhängige Sicherheitsexperte Ryan Wincey hat mehrere Sicherheitslücken in Meinberg's LTOS6 Web Interface entdeckt.
Er hat die Probleme vor einiger Zeit direkt an Meinberg gemeldet, daraufhin wurde in enger Zusammenarbeit mit ihm ein Fix für die gefundenen Lücken entwickelt und getestet.
Kurz darauf hat die Network Time Foundation NTP Version 4.2.8p8 veröffentlicht, das eine schwerwiegende und vier weitere, nicht so kritische Sicherheitslücken in der Referenz-Implementierung von NTP schliesst..
News-Artikel Schließen
2016-05-19Meinberg Security Advisory: [MBGSA-1603] OpenSSL
Details
Das OpenSSL Projekt hat in einem Security Advisory bekanntgegeben, dass es sicherheitsrelevante Probleme in der OpenSSL Version 1.0.2g (und älter) gibt. Die LANTIME Firmware Version 6.18.017 enthält daher die neueste stabile OpenSSL Version 1.0.2h, um diese Probleme zu beheben.
News-Artikel Schließen
2016-04-29Meinberg Security Advisory: [MBGSA-1602] NTP und OpenSSL
Details
Das Public NTP Services Project (
www.ntp.org) hat bekanntgegeben, dass die aktuelle Version der Referenzimplementierung von NTP eine Reihe von Sicherheitsschwachstellen enthält, die NTP 4.x Versionen bis 4.2.8p6 betrifft. Die neue LANTIME Firmware Version 6.18.016 enthält daher die gerade veröffentliche Version 4.2.8p7.
Das OpenSSL Projekt hat ebenfalls bekanntgegeben, dass es sicherheitsrelevante Probleme in der OpenSSL Version 1.0.2f gibt. Die Firmware Version 6.18.016 enthält daher auch die neueste stabile OpenSSL Version 1.0.2g, um diese Probleme zu beheben.
News-Artikel Schließen
2016-01-15Meinberg Security Advisory: [MBGSA-1601] NTP und OpenSSH
Details
Das Public NTP Services Project (
www.ntp.org) hat bekanntgegeben, dass die aktuellen Versionen der Referenz-Implementierung von NTP eine Reihe von sicherheitsrelevanten Fehlern enthält. Diese Fehler betreffen alle NTP Versionen vor 4.2.8p5, die seit dieser Woche zur Verfügung steht. Die neue LANTIME Firmware Version 6.18.013 enthält NTP 4.2.8p5.
Das OpenSSH Projekt hat ebenfalls eine Sicherheitslücke bekanntgegeben. Die als 'Triple Seven' bezeichnete OpenSSH Sicherheitslücke betrifft aber nicht die SSHd Implementierung auf MEINBERG LANTIME Systemen, da der betroffene Programmteil nicht enthalten ist.
News-Artikel Schließen
2015-10-21Meinberg Security Advisory: [MBGSA-1502] NTP Sicherheitslücken und OpenSSL und OpenSSH Updates
Details
Das Public NTP Services Project (
www.ntp.org) hat bekanntgegeben, dass die aktuellen Versionen der Referenz-Implementierung von NTP eine Reihe von sicherheitsrelevanten Fehlern enthält. Diese Fehler betreffen alle NTP Versionen vor 4.2.8p4, die seit heute zur Verfügung steht.
Die neue LANTIME Firmware Version 6.18.007 enthält NTP 4.2.8p4 und aktualisiert ausserdem OpenSSL auf die aktuellste stabile SSL Version 1.0.2d von OpenSSL.org. Weiterhin wird die in der LANTIME Firmware enthaltene OpenSSH Software auf den neuesten Stand 7.1 gebracht.
News-Artikel Schließen
2015-06-04Schaltsekunde 2015: Empfohlene Updates für LANTIME Produkte
Details
Im Rahmen der von Meinberg kontinuierlich durchgeführten Schaltsekunden-Tests wurde festgestellt, dass die Behandlung der Schaltsekunde durch den NTP Service in einigen Fällen fehlerhaft ist. Auf allen Systemen, die bereits jetzt eine Schaltsekundendatei verwenden, sollte die aktualisierte Dateiversion eingespielt werden.
News-Artikel Schließen
2015-03-24Schaltsekunde 2015: Wichtige Informationen für Meinberg Kunden
Details
Zu Beginn des Jahres 2015 hat der IERS in seinem Bulletin C bekanntgemacht, dass Ende Juni eine Schaltsekunde eingeführt wird. Für Anwender von NTP und anderen Synchronisationslösungen sind dabei einige Dinge zu beachten.
News-Artikel Schließen
2015-03-06Meinberg Security Advisory: [MBGSA-1501] NTP, OpenSSL und GLIBC Schwachstellen
Details
Das Public NTP Services Project (
www.ntp.org) hat kürzlich bekanntgegeben, dass einige Schwachstellen in allen NTP V4 Versionen entdeckt wurden. Ausserdem sind zwei Schwachstellen in der GNU C Bibliothek (glibc) gefunden worden und das OpenSSL Projekt hat mehrere Schwachstellen in seiner Software identifiziert.
News-Artikel Schließen
2014-12-22Meinberg Security Advisory: [MBGSA-1405] Mehrere NTP Schwachstellen entdeckt
Details
Das Public NTP Services Project (
www.ntp.org) hat am Freitag, den 19.12.2014 bekanntgegeben, dass die aktuellen Versionen der NTP Referenz Implementierung mehrere sicherheitsrelevante Schwachstellen enthalten, die mindestens alle V4.x Versionen von NTP betreffen.
News-Artikel Schließen
2014-10-02Meinberg Security Advisory: [MBGSA-1404] LANTIME Web Interface Cross Site Scripting Vulnerability
Details
Das National Cybersecurity and Communcations Integrations Center (NCCIC) wurde durch einen unserer Kunden darauf aufmerksam gemacht, daß das Webinterface von Meinberg LANTIME Netzwerkzeitservern anfällig gegen sogenannte Cross-Site-Scripting (XSS) Angriffe ist.
News-Artikel Schließen
2014-10-01Meinberg Security Advisory: [MBGSA-1403] GNU Bash Environmental Variable Command Injection Vulnerability
Details
Eine Sicherheitslücke in der GNU Bash Kommandoshell ermöglicht die unerlaubte Ausführung von beliebigen Shell-Befehlen durch das gezielte Definieren einer Umgebungsvariable bzw. einer Funktion. Die bei Meinberg LANTIME Firmware Versionen V4.x, V5.x und V6.x eingesetzten Versionen der Bash sind betroffen.
News-Artikel Schließen
2014-06-10Meinberg Security Advisory: [MBGSA-1402] Mehrere OpenSSL Sicherheitslücken
Details
Die vor wenigen Tagen gemeldeten OpenSSL Sicherheitsprobleme sowie der als Heartbleed bezeichnete Fehler in den SSL Bibliotheken wurden für die LANTIME Firmware Versionen V5 und V6 durch Updates geschlossen, in denen die neue OpenSSL Version 0.9.8za verwendet wird.
News-Artikel Schließen
2014-01-10Meinberg Security Advisory: [MBGSA-1401] NTP Netzwerk Amplification Angriffsmöglichkeit
Details
Seit einiger Zeit berichten mehrere Websites und Cyber-Security-Organisationen über den Missbrauch der "monlist" Funktion der Referenz-Implementierung von NTP. Diese Funktion wird anscheinend immer öfter dafür ausgenutzt per "Traffic Amplification" (Netzwerk-Verkehr-Verstärkung) Angriffe gegen Internet Hosts durchzuführen oder lediglich die betroffenen Systeme und deren Funktion durch eine erhöhte Systemauslastung zu beeinträchtigen. Betroffen sind alle NTP Versionen bis ntp-4.2.7p26 und somit auch Meinberg Produkte aus der LANTIME Serie. Ihre NTP Server gegen diesen Missbrauch zu schützen ist relativ einfach und kann durch eine Ergänzung bzw. Änderung Ihrer Konfiguration erreicht werden.
News-Artikel Schließen