Auteur Topic: Kritiek lek in het NTP protocol ontdekt (gelezen 1095 keer)

Briolet · « **Gepost op:** 22 december 2014, 10:26:15 »

Ik las gisteren op security.nl dat er 18 december een kritiek lek in het NTP protocol ontdekt is. Dus kunnen we aannemen dat er binnenkort weer een security update voor de diverse DSM versies uitkomt.

Het NTP protocol is dat van de timeserver. De meesten zullen dit niet bewust aangezet hebben, maar als je Security Station activeert, wordt de timeserver automatisch aangezet.

Op korte termijn zal het risico niet zo groot zijn omdat weinigen de timeserver naar het internet open hebben staan. Echter, als je de nas in de DMZ van je router hebt staan en de timeserver is actief, dan ben je op dit moment wel kwetsbaar.

Citaat

STACK-BASED BUFFER OVERFLOWS
A remote attacker can send a carefully crafted packet that can overflow a stack buffer and potentially allow malicious code to be executed with the privilege level of the ntpd process. All NTP4 releases before 4.2.8 are vulnerable.
This vulnerability is resolved with NTP-stable4.2.8 on December 19, 2014.
CVE-2014-9295i has been assigned by CERT/CC to this vulnerability. A CVSS v2 base score of 7.3 has been assigned; the CVSS vector string is (AV:N/AC:L/Au:N/C:P/I:P/A:P).

MISSING RETURN ON ERROR
In the NTP code, a section of code is missing a return, and the resulting error indicates processing did not stop. This indicated a specific rare error occurred, which does not appear to affect system integrity. All NTP Version 4 releases before Version 4.2.8 are vulnerable.
This vulnerability is resolved with NTP-stable4.2.8 on December 19, 2014.
CVE-2014-9296l has been assigned by CERT/CC to this vulnerability. A CVSS v2 base score of 5.0 has been assigned; the CVSS vector string is (AV:N/AC:L/Au:N/C:N/I:N/A:P).

Briolet · « **Reactie #1 Gepost op:** 23 december 2014, 13:49:51 »

Apple heeft vandaag een update voor dit lek uitgebracht.

Meestal is Synology sneller bij dit soort lekken.

Kritiek lek in oude Audio Station versies Gestart door BrioletBoard Audio Station	Reacties: 1 Gelezen: 1327	18 juni 2021, 14:03:09 door D4nny
OpenSSL komt voor tweede keer in de geschiedenis met update voor kritiek lek Gestart door BrioletBoard The lounge	Reacties: 1 Gelezen: 617	25 oktober 2022, 19:15:08 door Birdy
DS1821+ SHR2 8x16 TB hdd kritiek 4 bad sectors en nu opeens health ok Gestart door prodigy73Board NAS hardware vragen	Reacties: 18 Gelezen: 3308	22 augustus 2021, 00:52:34 door m4v3r1ck
Kritiek lek in twee camera's van Synology zelf Gestart door BrioletBoard Surveillance Station	Reacties: 0 Gelezen: 344	25 november 2023, 12:07:18 door Briolet
melding Kritiek: er zijn problemen in opslagpool 1. Gestart door wimBoard NAS hardware vragen	Reacties: 1 Gelezen: 458	16 december 2021, 21:36:39 door wim

Auteur Topic: Kritiek lek in het NTP protocol ontdekt (gelezen 1095 keer)

Briolet

Kritiek lek in het NTP protocol ontdekt

Briolet

Re: Kritiek lek in het NTP protocol ontdekt

Vergelijkbare onderwerpen (5)