Network Time Protocol project、NTP daemon (ntpd)に複数の脆弱性を確認
Network Time Protocol projectのNTP daemon (ntpd)に複数の脆弱性が確認された。影響を受けるのはntpdバージョン4.2.7とそれ以前、ntp-keygenバージョン4.2.7p230以前で、PRNGの不十分なエントロピー、暗号の脆弱なPRNGジェネレータの使用、スタックバッファオーバーフロー、エラー条件、戻り値、ステータスコードの脆弱性が存在する。これらの脆弱性によりntpdプロセスの権限レベルで任意のコードを実行される恐れがある。また、ntp-keygenにおけるデフォルトキーや暗号化されないランダムな乱数ジェネレーターにより、整合性チェックと認証暗号スキームの情報を盗取される恐れがある。さらに、脆弱なデフォルトキーにより、環境設定が制限されていない場合、認証を必要とするプライベートモードや制御モードクエリへアクセスされる恐れがある。解決策として、ntp-4.2.8が公開されており、アップデートによりこの脆弱性は解消される。
