![[+]](http://ohaha.ks.edu.tw/templates/blog_1/ohaha_spollo/imgs/computer.gif){kind=small}
首頁![[+]](http://ohaha.ks.edu.tw/templates/blog_1/ohaha_spollo/imgs/bricks.gif){kind=small}
檔案庫![[+]](http://ohaha.ks.edu.tw/templates/blog_1/ohaha_spollo/imgs/date.gif){kind=small}
文章彙整![[+]](http://ohaha.ks.edu.tw/templates/blog_1/ohaha_spollo/imgs/vcard.gif){kind=small}
關於本站![[+]](http://ohaha.ks.edu.tw/templates/blog_1/ohaha_spollo/imgs/mail.gif){kind=small}
寫信給我
安全通告: ntpd (SA-09:03.ntpd)
主題: ntpd cryptographic signature bypass
分類: contrib
模組: ntpd
發布時間: 2009-01-13
影響版本: 所有FreeBSD版本
修正版本: 2009-01-13 21:19:27 UTC (RELENG_7, 7.1-STABLE)
2009-01-13 21:19:27 UTC (RELENG_7_1, 7.1-RELEASE-p2)
2009-01-13 21:19:27 UTC (RELENG_7_0, 7.0-RELEASE-p9)
2009-01-13 21:19:27 UTC (RELENG_6, 6.4-STABLE)
2009-01-13 21:19:27 UTC (RELENG_6_4, 6.4-RELEASE-p3)
2009-01-13 21:19:27 UTC (RELENG_6_3, 6.3-RELEASE-p9)
I. 相關背景資料
ntpd 服務是常用的網路時間協定(Network Time Protocol,NTP),用來作為電腦較時之用.
OpenSSL Project 是一個用來建立強大的商業的加密協定, 主要在 Secure Socket Layer(SSL v2/v3)
和傳輸層的安全(TLS v1)協定上,是一個完整且強大的通用加密涵式庫
II. 問題描述
OpenSSL的EVP_VerifyFinal() function被用來確定數位特徵是否有效,
當ntpd被設定用此函數來做為加密的認證可能因此產生錯誤 .
III. 影響
攻擊者能夠透過送出NTP封包給ntpd服務,可能因此漏洞造成系統時間設定錯誤
IV. 替代方案
ntpd使用ip限制,或透過防火牆限定某些ip才能送出NTP封包.
補充說明: 若nptd未使用加密,則不受此安全通告影響.
V. 解決方案
補充說明: 由於update過程有小錯誤發生,此修補方式*目前*無法透過 freebsd-update更新.
FreeBSD團隊希望可以在48小時內完成修補上述狀況.
以下方案則一即可:
1) 更新系統到 6-STABLE, 或 7-STABLE, 或 RELENG_7_1, RELENG_7_0, RELENG_6_4,
或 RELENG_6_3 (需要在此漏洞發布時間後的版本).
2) 修補現有系統:
下列修補程式只被驗證提供給 FreeBSD 6.3, 6.4, 7.0, 和 7.1 版本.
a) 下載修補檔案
[FreeBSD 6.4 and 7.1]
# fetch http://security.FreeBSD.org/patches/SA-09:03/ntpd.patch
[FreeBSD 6.3 and 7.0]
# fetch http://security.FreeBSD.org/patches/SA-09:03/ntpd63.patch
b) 以root身分執行下述指令:
# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/usr.sbin/ntp/ntpd
# make obj && make depend && make && make install
# /etc/rc.d/ntpd restart
安全通告: ntpd (SA-09:03.ntpd)
迴響 |
0 引用