Linux a Unix je možné hacknúť cez NTP, k dispozícii aktualizácia

Značky: bezpečnosťLinuxUnixInternet

DSL.sk, 22.12.2014

V štandardnej implementácii protokolu Network Time Protocol, NTP, používanej takmer univerzálne v linuxových a ďalších unixových distribúciách sa nachádzali vážne bezpečnostné zraniteľnosti umožňujúce útočníkovi spustiť na vzdialenom počítači ním zvolený kód iba zaslaním jedného paketu.

Na konci uplynulého týždňa na to upozornili tvorcovia NTP.

Pomocou protokolu NTP sa na Internete synchronizuje čas jednotlivých počítačov a serverov, v hierarchickej topológii od serverov získavajúcich presný čas z atómových hodín až po klientské zariadenia.

V implementácii NTP označovanej rovnako NTP sa doteraz nachádzali okrem iného tri chyby typu pretečenia bufferu na zásobníku, ktoré útočníkovi umožňujú spustiť pod oprávneniami procesu NTP serveru ním zvolený kód zaslaním iba jedného paketu. Chyby identifikoval Stephen Roettger z Google.

Oznámenie tvorcov NTP detailne neinformuje o predpokladoch, za ktorých je možné chyby zneužiť, a či sa dajú zneužiť skôr ako pakety vylúčia zo spracovania sieťové nastavenia NTP servera. Nie je tak jasné, či je možné chyby zneužívať aj na útoky na počítače používajúce NTP len pre vlastnú potrebu na udržiavanie presného času respektíve za akých nastavení alebo len na útoky na servery poskytujúce externe služby synchronizácie času.

Minimálne jednu z chýb môže zneužiť neautifikovaný užívateľ, nie je ale jasné či pre zneužitie musí server akceptovať požiadavky na synchronizáciu času. Napríklad Red Hat označil aktualizáciu iba za dôležitú a nie kritickú, keďže v štandardnej konfigurácii tejto distribúcie možu chyby zneužiť iba lokálni užívatelia. Debian v oznámení naznačuje, že rovnako v jeho štandardnej konfigurácii nie je cez sieť chyby možné zneužiť.

Užívateľom je v každom prípade odporúčané NTP okamžite aktualizovať na novú verziu 4.2.8, v ktorej boli chyby opravené. Dostupnosť inštalačného balíčka novej verzie samozrejme závisí na používanej distribúcii respektíve OS.




Najnovšie články:



Diskusia:

dnes má meniny Adela Od: Ceruzska | Pridané: 22.12.2014 12:39 NTP nepouzivam, takze mi je to jedno :D Odpovedať Známka: -6.4 Hodnotiť:

Re: dnes má meniny Adela Od: Co ti poviem | Pridané: 22.12.2014 12:43 Si pán Odpovedať Známka: 9.4 Hodnotiť:

Re: dnes má meniny Adela Od: karolkooooo | Pridané: 22.12.2014 13:40 Ved srat na cas, hlavne, ze vsetko funguje :D Odpovedať Známka: 9.1 Hodnotiť:

Re: dnes má meniny Adela Od: posielam z pisacieho stroja | Pridané: 22.12.2014 12:46 ja uz tradicne nepouzivam radsej ani internet Odpovedať Známka: 7.6 Hodnotiť:

Re: dnes má meniny Adela Od: churva | Pridané: 22.12.2014 12:55 a na dsl prispievas korespondencne? Odpovedať Známka: 9.2 Hodnotiť:

Re: dnes má meniny Adela Od reg.: Bryan Fury | Pridané: 22.12.2014 13:17 Možno dymové signály... Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Adela Od: sfjsldfkjsl | Pridané: 22.12.2014 16:07 posielam korespondencne listky na Mlynska Dolina 845 45, heslo: DSL.SK Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Adela Od: Snuper | Pridané: 22.12.2014 23:02 Tak to si mimo. Spravne to je tri jednicky padesat praha 1 Odpovedať Známka: 0.0 Hodnotiť:

Re: dnes má meniny Adela Od: jake ja?! | Pridané: 22.12.2014 13:32 ja posielam komentare telegramom Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Adela Od: marvin | Pridané: 22.12.2014 15:22 Klames. Telegrafna sluzba uz bola zrusena pred par rokmi. Odpovedať Známka: -2.9 Hodnotiť:

Re: dnes má meniny Adela Od: _jupiii | Pridané: 22.12.2014 18:00 https://telegram.org/ Odpovedať Známka: 8.0 Hodnotiť:

Re: dnes má meniny Adela Od: nttio | Pridané: 23.12.2014 8:24 a ja posielam HOLUBOM cez WiFi z velkeho kanclu Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Adela Od: hrrr | Pridané: 23.12.2014 22:04 A vieš o tom že existuje RFC 1149 A Standard for the Transmission of IP Datagrams on Avian Carriers? Síce je s príznačným dátumom 1. Apríla ale je tam. Odpovedať Hodnotiť:

Re: dnes má meniny Adela Od: vsahhh | Pridané: 22.12.2014 15:03 Ja morzeovkou inokedy pohľadnicami Odpovedať Známka: 7.1 Hodnotiť:

Re: dnes má meniny Adela Od: Ferikuš | Pridané: 22.12.2014 18:10 a kade ide potom tá tvoja morzeovka?? Odpovedať Známka: 3.3 Hodnotiť:

Re: dnes má meniny Adela Od: Snuper | Pridané: 22.12.2014 23:03 Zase si to nepochopil. On to posiela morzeouvkou na pohladniciach. Na 1 pohladnicu jeden kod :P -- ciarka/bodka Skor ma zaujima, ako zistuju poradie, ak im dojde milion pohladnic v 1 den :D Odpovedať Známka: 6.4 Hodnotiť:

josinko Od reg.: josika | Pridané: 22.12.2014 12:57 kupte si macbook pro a ste v bespeci. Tieto odnoze lunexov kadzy si tam zabuduje vlastny backdoor cez ten vas opensurc. Odpovedať Známka: -6.8 Hodnotiť:

Re: josinko Od: strudel | Pridané: 22.12.2014 13:02 tam mam backdoor zabudovany aspon bezplatne, preco by som mal v pripade makbuku zan este platit ? Odpovedať Známka: 8.7 Hodnotiť:

Re: josinko Od: ujo fero | Pridané: 22.12.2014 13:19 pouzivaj amigaOS a budes kralom. najbezpecnejsi os sveta - 0 chyb, 0 zranitelnosti :) Odpovedať Známka: 7.1 Hodnotiť:

Re: josinko Od reg.: Bryan Fury | Pridané: 22.12.2014 13:22 MacPrd je to isté čo herná konzola. Dá sa na ňom robiť relatívne spoľahlivo a stabilne, avšak len od tiaľ po tiaľ, resp. čo mi vývojari dovolili a dovolia. Je to uzavreté prostredie, ako väznica. Pre drvivú väčšinu užívateľov to bohate stačí a preto im prestárnuté prostredie s pár funkciami a takmer nulovou hlbšou infraštrukturálnou administráciou vyhovuje. Poviem Vám konfigurovať sieť pre MacOS, či doménu porovnateľná s onaniou s ostatným drôtom a savom. Avšak aktívni ľudia, čo radi modujú, hrajú hry, pracujú v serióznom softe, ktorý je len na Win32 platforme, možnosť luxusu predraženého desktopu/notebooku nemajú. Taktiež nastavovanie práv pre Windows/Windows Server zvládne takmer hocikto, zatiaľ čo nastavovať práva v MacOSe si vyžaduje kopec skúseností a vedomostí. Malú domácu sieť s NASkou si nakonfiguruje aj priemerný ovčan, pokiaľ beží na linux/windows platforme, v momente ako má človek nakonfigurovať "ad hoc" sieť pre MacOS, tak sa končí všetka sranda. Odpovedať Známka: 3.1 Hodnotiť:

Re: josinko Od: 'PPQ' | Pridané: 22.12.2014 13:57 na mac os to spravis rovnako zlozito ako na windowse. najvacsi problem je prave s linuxom. Odpovedať Známka: -7.5 Hodnotiť:

Re: josinko Od: Wil | Pridané: 22.12.2014 14:14 Zaujimavé teda na tom je to, že 8 rokov nemám problémy s Linuxom (Linuxami) ale pri Widlách začnem vždy bohovať-kristovať aj keď som si povedal že už nenadávam Odpovedať Známka: 3.1 Hodnotiť:

Re: josinko Od: moja rada (nie ze moja rada) | Pridané: 22.12.2014 21:19 Nepouzivaj windows 2000 ale stiahni si nieco v lazoch a udoliach rozsirenejsie, napr. windows 7. Odpovedať Známka: -1.7 Hodnotiť:

Re: josinko Od reg.: WinstonSmith | Pridané: 22.12.2014 19:07 Chlape, ani nevieš, ako z duše mi hovoríš... Odrástol som na Xfce a pri náročnejších nastaveniach, ako je zmena pozadia, rodím ježkov. Prostredie je fajn pre jednoduchých užívateľov, ktorí sa nezamýšľajú, ako nastaviť toto, či tamto (ale však, pre američanov bolo aj navrhované...) Odpovedať Známka: 7.8 Hodnotiť:

Re: josinko Od reg.: Marki555 | Pridané: 22.12.2014 14:21 Mac OS ma toho dost spolocneho s BSD, vratane pouzivania NTP affectnuteho NTP klienta. Odpovedať Známka: 10.0 Hodnotiť:

Re: josinko Od: !R_del by | Pridané: 22.12.2014 15:59 Keby si aspon trochu rozumel tomu co si kupujes vedel by si ze Mac OS vychadza z Unixu a FreeBSD, a tak isto vyuziva NTP klienta na synchronizovanie casu takze tam mas ten bug aj ty... Odpovedať Známka: 7.8 Hodnotiť:

Re: josinko Od: XMen | Pridané: 22.12.2014 23:15 A kde beries tu istotu, ze macbook, ktory tiez pouziva NTP nema podobne zranitelnosti? Samozrejme s tym sa apple nikdy neprizna, lebo musia vytvarat pocit neznicitelnosti. Kde som to uz len pocul? jaaaaj Titanic Odpovedať Známka: 10.0 Hodnotiť:

Re: josinko Od reg.: diosko | Pridané: 23.12.2014 10:35 VSETKY OS, ktore maju implementovany NTP pred verziou 4.2.8 a funguje na nich ako SERVER su zranitelne popisovanou chybou. A netreba riesit ci je to Win, Linux, BSD, Solaris alebo iOS. Mimochodom JABLCKARI tiez o tom informuju: http://dopice.sk/bKD Odpovedať Hodnotiť:

wwww5 Od: wwww5 | Pridané: 22.12.2014 13:59 A co ked tam ziadna chyba nebola ?! Ale v novom update je naschval backdoor. :D Odpovedať Známka: 2.0 Hodnotiť:

Re: wwww5 Od: 'PPQ' | Pridané: 22.12.2014 14:04 ty si nejaky huncut, pekne instaluj :)) Odpovedať Známka: 10.0 Hodnotiť:

len taka otazocka Od: zaujimave | Pridané: 22.12.2014 14:05 nie je nahodou aj mac OS X spravene na base unixu nahodou? tak urcitym sposobom ked povieme nieco zle na unix/linux tak potom aj na mac OS? Odpovedať Známka: 8.6 Hodnotiť:

Re: len taka otazocka Od: ceko2 | Pridané: 22.12.2014 14:44 Ano ,Darwin Kernel Odpovedať Známka: 6.0 Hodnotiť:

upresnenie Od reg.: Marki555 | Pridané: 22.12.2014 14:24 NTF (tvorca daneho NTP softwaru) uz potvrdil, ze dane chyby sa vyskytuju v kode, ktory sa vykonava az po vsetkych obmedzeniach v konfiguracii, takze pokial nepovolujete "query" pakety z celeho sveta tak ste v bezpeci. Odpovedať Známka: 10.0 Hodnotiť:

huru ugru Od: Gyula Bartók | Pridané: 22.12.2014 15:05 Všetkému je na vine Microsoft Odpovedať Známka: 0.0 Hodnotiť:

Re: huru ugru Od reg.: josika | Pridané: 22.12.2014 15:21 a co fico? Odpovedať Známka: 2.5 Hodnotiť:

Re: huru ugru Od: ppp p | Pridané: 22.12.2014 15:50 fico ma predinstalovane widle Odpovedať Známka: 1.4 Hodnotiť:

googogo Od: linsky | Pridané: 22.12.2014 17:57 nezabudnite si nahrat rusku verziu firmware pre vas router linksys lebo americka fbi vam tam napichla keylogger :) Odpovedať Známka: 8.0 Hodnotiť:

linuxed cocks mth-fck-red Od: windowsak | Pridané: 22.12.2014 20:33 Hmm, synonymum nezranitelnosti na 5 pat pismen a toto? Hmm Odpovedať Známka: 7.1 Hodnotiť:

5znak Od: XMen | Pridané: 22.12.2014 23:13 Skoda len, ze napr. moje distro nepouziva standardnu implementaciu, takze jedine co mi mozu urobit je, ze mi zle nastavia cas. Sakra a co ak zmeskam do prace? To moze byt kriticka chyba v linuxe. OK idem to vypnut ;) Odpovedať Známka: 2.0 Hodnotiť:

Re: 5znak Od: lin-trus | Pridané: 23.12.2014 4:25 Niekto sofistikovanejsi ti nasadi na masinu nejaku kokotinku a zneuzije lokalne NTP chybu. To je asi na teba moc komplexne. Odpovedať Hodnotiť:

Re: 5znak Od: linetka | Pridané: 23.12.2014 9:02 A preco to linuxaci nemaju implementovane po svojom? Napr cas z RTC plus nejaka magic konstanta. Odpovedať Známka: -3.3 Hodnotiť:

Re: 5znak Od: sensei-san | Pridané: 23.12.2014 9:35 Lebo RTC je nepresné. Odpovedať Hodnotiť:

Re: 5znak Od: linetka | Pridané: 23.12.2014 10:05 Fakt? Kokoooot, sem chodia inak vzdelani manici Odpovedať Hodnotiť:

Re: 5znak Od: sensei-san | Pridané: 24.12.2014 21:01 Než začneš používať slovník 4. cenovej, tak by si mohol skúsiť argumentovať slušne. Napr.: áno linuxák môže použiť hodiny, ktoré sú zvyčajne na motherboarde a nastaviť odchýlky pomocou adjtimex ( http://linux.die.net/man/8/adjtimex ). Ale presnosť týchto hodín závisí od kvality/stability napájania a tá kolíše pri napájaní zo siete a pri vypnutom PC napájanie z nejakej gombíkovej batérie tiež nie je bohviečo. NTP je sieťový protokol, ktorý čas systému kontinuálne updatuje na základe informácií z atómových hodín. Ale ak máš iné informácie, tak sa rád nechám poučiť. Btw, aký je ekvivalent adjtimex na iných platformách? Odpovedať Hodnotiť:

Re: 5znak Od: linetka | Pridané: 25.12.2014 21:00 Naco mi tu pises to co je jasne snad kazdemu diskuterovi? Si fakt tupy buzik. Odpovedať Hodnotiť:

Re: 5znak Od: obyčajne | Pridané: 24.12.2014 17:08 V tvojom prípade máš možno pravdu, ale všeobecne by sa to takto zľahčiť nedalo. NTC sa používa na synchronizáciu času v clustroch a niekedy na čase záleží. Napr. mi napadá naposledy, keď niekto prehlásil, že našiel svetlo rýchlejšie než konštanta rýchlosti c. A to vďaka tomu, že signál prešiel z bodu A do bodu B za ČAS, ktorý bol kratší ako čas, za ktorý by prešlo svetlo. Že sa takéto pokusy nerobia s hračkárskym OS ako je MS Win je snáď aj linux-man ovi, píšucemu proti linux-u akoby za to mal odmeny, jasné. Neskôr svoj objav dementovali. Je to tu na DSL z tohto roka, nechce sa mi hľadať. Odpovedať Hodnotiť:

TrueCrypt - Tor Od: HitmanNetwork | Pridané: 24.12.2014 20:21 TrueCrypt bol zlikvidovaný vládou lebo si sním nedokázala poradiť ani NSA. Od verzie 7.1a ju už majú podchytenú. Tor chcú zlikvidovať pre úplné to isté. Tor bol vyvinutý pre ľudí ktorý majú prístup do internetu ale idú im len dve web stránky a obe patria Kim Jong-unovy. Teraz som tu cez TORa a moja IP je 188.138.9.49 Používam ho dennodenne. Odpovedať Hodnotiť:

SELinux Od reg.: Lars Schotte | Pridané: 27.12.2014 9:52 preto to oznacil RedHat iba za dolezite, lebo ked je NTP limitovany SELinuxem, tak to moc nezmeni. Odpovedať Hodnotiť:

Pridať komentár