Meinberg Security Advisory: [MBGSA-1601] NTP und OpenSSH

Das Public NTP Services Project (www.ntp.org) hat bekanntgegeben, dass die aktuellen Versionen der Referenz-Implementierung von NTP eine Reihe von sicherheitsrelevanten Fehlern enthält. Diese Fehler betreffen alle NTP Versionen vor 4.2.8p5, die seit dieser Woche zur Verfügung steht. Die neue LANTIME Firmware Version 6.18.013 enthält NTP 4.2.8p5.

Das OpenSSH Projekt hat ebenfalls eine Sicherheitslücke bekanntgegeben. Die als 'Triple Seven' bezeichnete OpenSSH Sicherheitslücke betrifft aber nicht die SSHd Implementierung auf MEINBERG LANTIME Systemen, da der betroffene Programmteil nicht enthalten ist.

CVE-IDs:

[NTP]: CVE-2015-5300 CVE-2015-7704 [NOT YET PUBLIC]
[OPENSSH] CVE-2016-0777 [NOT YET PUBLIC] CVE-2016-0778 [NOT YET PUBLIC]
(Zum Zeitpunkt der Veröffentlichung dieses MBGSA stehen unter Umständen noch nicht alle CVE Einträge auf der NVD Website zur Verfügung)

Update: Die OpenSSH Versionen, die in der V6 LANTIME Firmware eingesetzt werden, sind nach weiteren Tests nicht betroffen. Sie wurden bereits ohne den schadhaften Code gebaut, es ist somit keine manuelle Konfiguration des SSH Daemons notwendig.

1. Beschreibung des Problems

Die Referenz-Implementierung von NTP enthält eine Reihe von Bugs, die sicherheitsrelevant sein können.

Die Network Time Foundation hat heute die Verfügbarkeit der neuesten stabilen NTP Version 4.2.8p5 bekanntgegeben, die eine neu entdeckte Schwachstellen schliesst und den Fix für eine andere, bereits bekannte Schwachstelle verbessert. Als Mitglied des NTP Consortium der Network Time Foundation hat Meinberg bereits vor der Veröffentlichung der NTP Version Zugang zu den Fixes erhalten und konnte diese in ihre aktuelle stabile Firmware Version 6.18.013 aufnehmen, die für LANTIME und SyncFire Produkte zur Verfügung steht.

Details über die entdeckten Schwachstellen können in der offiziellen Bekanntmachung des NTP Projekts nachgelesen werden: NTP 4.2.8p5 Announcement.

2. Betroffene Systeme

Alle LANTIME Firmware Versionen vor V6.18.013 sind theoretisch von den Bugs und Schwachstellen betroffen.

3. Mögliche Gegenmaßnahmen

Meinberg Produkte

Die genannten Schwachstellen werden in der NTP Version 4.2.8p5, die im Rahmen des LANTIME FIrmware Release 6.18.013 zur Verfügung gestellt wird, korrigiert bzw. geschlossen. Alle V5 Systeme und V6 Systeme sollten auf diese Version aktualisiert werden.

Meinberg LANTIME Firmware Updates

Wir empfehlen, die betroffenen Systeme so schnell wie möglich auf die neue Firmware Version 6.18.013 zu aktualisieren. Bitte kontaktieren Sie Ihren Meinberg Support, wenn Sie dabei Unterstützung benötigen oder Fragen haben.

Andere NTP Installationen

Bitte nehmen Sie Kontakt zu Ihrem Betriebssystem-Hersteller auf, um zu erfahren ob Ihr System betroffen ist und wenn ja, wie Sie die NTP Version aktualisieren können. Wenn Sie unseren NTP Installer für Windows verwenden, laden Sie die aktuelle Version herunter und aktualisieren Sie bitte Ihre Installationen mithilfe des "Update Binaries Only" Features des Installers.

4. Weitere Quellen

Mehr über diese Sicherheitsprobleme können Sie auf den folgenden Websites erfahren:

January 2016 Security Notice des NTP Public Services Projects
OpenBSD Journal Post bezüglich des OpenSSH Triple-Seven Bug
RedHat Article über OpenSSH Triple-Seven
Newsartikel bei Heise Online über Triple Seven

Bitte zögern Sie nicht, Ihren Meinberg Support zu kontaktieren, wenn Sie noch Fragen haben oder Unterstützung benötigen.