News vom 06.03.2015


Meinberg Security Advisory: [MBGSA-1501] NTP, OpenSSL und GLIBC Schwachstellen

Das Public NTP Services Project (www.ntp.org) hat kürzlich bekanntgegeben, dass einige Schwachstellen in allen NTP V4 Versionen entdeckt wurden. Ausserdem sind zwei Schwachstellen in der GNU C Bibliothek (glibc) gefunden worden und das OpenSSL Projekt hat mehrere Schwachstellen in seiner Software identifiziert.

CVE-IDs:

[NTP]: CVE-2014-9293 CVE-2014-9297 CVE-2014-9298
[GLIBC]: CVE-2014-9402 CVE-2015-0235
[OPENSSL]: CVE-2014-3571 CVE-2014-3569 CVE-2014-3572 CVE-2015-0204 CVE-2014-8275 CVE-2014-3570
(zum Zeitpunkt der Veröffentlichung dieses MBGSA waren einige der CVE Einträge noch nicht online)

1. Beschreibung des Problems

Die Referenz Implementierung von NTP und die GNU C Library glibc die in LANTIME Systemen verwendet werden, enthalten mehrere Bugs die zu Sicherheitsproblemen führen können.

Auch das OpenSSL Projekt hat Schwachstellen in ihrer Software entdeckt, die mit der Version 0.9.8ze geschlossen wurden.

Die meisten NTP Schwachstellen wurden bereits in den aktuellen Firmware Versionen für Meinberg LANTIME Systeme behoben. Es wurden aber seitdem zwei neue Schwachstellen erkannt (CVE 2014-9298 und 2014-9297), die erst vor wenigen Tagen veröffentlicht wurden. Das NTP Public Services Project hat bekanntgegeben, dass diese Schwachstellen in der neuesten NTP Version 4.2.8p1 nicht mehr vorhanden sind. Die meisten der in den letzten Wochen gefundenen NTP Sicherheitsprobleme können nur dann für Angriffe ausgenutzt werden, wenn das Autokey Feature eingeschaltet ist. Da dieses Sicherheitsverfahren bereits als nicht sicher eingestuft wurde, empfiehlt Meinberg, es nicht zu verwenden. Im Auslieferungszustand ist es bei LANTIME Produkten bereits deaktiviert. Daher muss es auf einem LANTIME nur dann aktiv deaktiviert werden, wenn es vorher vom Anwender eingschaltet wurde.

Eine andere NTP Schwachstelle betrifft die für NTP eingestellten Zugriffsbeschränkungen ("restrictions"). Wenn ein Angreifer ein IPv6-Paket sendet, bei dem er die Absenderadresse auf "::1" gefälscht hat, kann er damit ggf. NTP Restrictions umgehen, die für andere Adressen konfiguriert worden sind.

Die glibc Schwachstelle, die durch eine fehlerhafte Implementierung der "get_host_by_name" Funktion in der Library vorhanden ist, erlaubt es Angreifern, unter bestimmten Randbedingungen beliebigen (Schad-)Code auszuführen. Diese Schwachstelle wurde in den Medien mit dem Spitznamen "GHOST" bedacht und der entsprechende CVE 2015-0235 wurde am 28.01.2015 veröffentlicht.

Am 24.02.2015 wurde eine weitere neue Schwachstelle in der glibc bekanntgegeben. Diese Schwachstelle betrifft die Library Funktion "getnetbyname" und kann einen Denial of Service Angriff erlauben, indem die die C-Bibliothek verwendende Software in einen sogenannten "infinite loop", also eine Endlosschleife gezwungen wird.

2. Betroffene Systeme

Alle LANTIME Firmware Versionen vor V6.16.008 und alle Firmware Versionen von 6.17.001 bis 6.17.005 sind theoretisch von diesen Schwachstellen betroffen.

Alle NTP V4.x Versionen vor 4.2.8p1 sind laut den NTP Entwicklern von den genannten NTP Schwachstellen betroffen.

3. Mögliche Gegenmaßnahmen

Meinberg Produkte

Alle genannten Schwachstellen wurden von Meinberg in die in der 6.16 und 6.17 Firmware verwendeten NTP und glibc Version portiert. V6.16 Systeme sollten die ab heute verfügbare Version 6.16.008 installieren und verwenden. Für V6.17 Systeme wird am 13.03.2015 die Version 6.17.006 veröffentlicht, die ebenfalls alle in diesem Advisory angegebenen Schwachstellen schliesst.

Meinberg LANTIME Firmware Updates

Um LANTIME Systeme zu schützen, die nicht auf 6.16.008 oder 6.17.006 aktualisiert werden können, empfehlen wir das Deaktivieren der Autokey Funktion und die Einrichtung von Firewall Schutzregeln, um den Zugriff aus Netzwerken zu verhindern, die nicht vertrauenswürdig sind. Bitte beachten Sie, dass Autokey standardmäßig deaktiviert ist und nur dann von Ihnen wieder ausgeschaltet werden muß, wenn Sie es vorher auf Ihren LANTIME Systemen eingeschaltet haben.

Bisher haben wir keine Möglichkeit gefunden, die beschriebenen glibc Schwachstellen auf einem LANTIME System auszunutzen, außer man hat Zugriff auf die CLI Shell. Da das nur für Superuser möglich ist, die bereits alle erforderlichen Rechte haben und somit keinen praktischen Nutzen aus dem Ausnutzen der Schwachstelle ziehen würden, ist die praktische Auswirkung aus unserer Sicht sehr gering. Das Schliessen dieser Schwachstellen haben wir dennoch aus Sorgfalt durchgeführt.

Andere NTP Installationen

Wenn Sie Ihre NTP Version nicht auf 4.2.8p1 oder eine gepatchte Version Ihres Betriebssystem-Herstellers aktualisieren können, können Sie durch das Deaktivieren von Autokey die meisten der genannten NTP Sicherheitsprobleme umgehen. Dazu müssen Sie alle Konfigurationsdatei-Einträge entfernen oder auskommentieren, die mit der "crypto" Direktive beginnen.

Um gegen das Spoofen der ::1 IPv6 Absenderadresse geschützt zu sein, müssen Sie Ihrem System entsprechende Firewall Regeln hinzufügen, die alle IPv6 Pakete abweisen bzw. löschen, die den Absender ::1 haben und aus einem externen Netzwerk stammen. Bei den meisten Linux-basierten Systemen sind das alle Netzwerkschnittstellen außer 'lo'. Einige OS-Hersteller haben eventuell bereits eigene Sicherheitspatches diesbezüglich veröffentlicht.

HINWEIS: Um mehr über die Bedeutung und Verwendung der Konfigurationsbefehle von NTP zu erfahren, kann die NTP Dokumentation auf http://doc.ntp.org eingesehen werden. Die hier gezeigten Konfigurationsbeispiele sollten mit allen ntpd Versionen von 4.2.0 bis 4.2.8 funktionieren, mit der Einschränkung, dass IPv6 betreffende Befehle natürlich nur auf Systemen eingesetzt werden können, die auch IPv6 Support haben.

4. Weitere Quellen

Mehr über diese Sicherheitsprobleme können Sie auf den folgenden Websites erfahren:

Security Notice of the NTP Public Services Project
Vulnerability Note for NTP published by the National Vulnerability Database
Vulnerability Note for GLIBC published by the National Vulnerability Database
Security Advisory published by the OpenSSL Project

Bitte zögern Sie nicht, Ihren Meinberg Support zu kontaktieren, wenn Sie noch Fragen haben oder Unterstützung benötigen.


Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact