Neue NTP-Versionen fixen Fehler im Zeit-Server
Mit nur einem Paket könnte ein Angreifer Zeit-Server mit dem NTP-Dienst übernehmen. Admins sollten ihre Konfiguration checken und bei Bedarf das Abhilfe versprechende Update so schnell wie möglich einspielen.
(Bild: Johannes Löw, cc-by-sa-2.5)
Googles Security-Spezialisten Neel Mehta und Stephen Roettger haben gleich einen ganzen Schwung von Sicherheitslücken im Zeit-Server-Dienst NTP entdeckt und an dessen Entwickler gemeldet. Die Entwickler veröffentlichten am Freitag sogleich die Version 4.2.8, in der zumindest die kritischen Lücken gefixt sind.
Zeit-Server werden zur Synchronisierung der Systemzeit übers Netz genutzt und sind weit verbreitet. Admins sollten sich unbedingt vor Weihnachten noch dran machen, dieses Update zu installieren oder ihre Zeit-Server anderweitig abzuschotten. Denn Angriffe auf die Lücken sind einfach – und sie werden sicher sehr bald beginnen. Das US-CERT und auch das für Industrieanlagen zuständige ICS-CERT haben bereits entsrpechende Warnungen veröffentlicht.
Remote Code Execution möglich
Die zwei schlimmsten Sicherheitsprobleme des aktuellen Zeit-Servers NTP sind Pufferüberläufe, die sich durch passend erstellte NTP-Pakete so ausnutzen lassen, dass der Angreifer Code mit den Rechten des Zeit-Dienstes auf dem System ausführen kann. Darüber hinaus beseitigt das Update noch vier weitere, weniger dramatische Sicherheitsprobleme, darunter mehrere Stellen, an denen zu schwache Schlüssel zum Einsatz kamen. Zwei weitere, kleinere Probleme wollen die Entwickler in den nächsten Monaten beseitigen.
Angesichts der akuten Gefahr sollten Admins sicherstellen, dass über die Feiertage zumindest keine verwundbaren NTP-Server übers Internet erreichbar sind. Die neue Version NTP 4.2.8 steht auf den Projekt-Seiten zum Download bereit. Die Linux-Distributoren arbeiten mit Hochdruck daran, aktualisierte Pakete zu erstellen. Ob Mac OS X, das ebenfalls einen standardmäßig aktiven NTP-Service enthält, ebenfalls betroffen ist, ist bislang nicht klar. In der Usenet-Gruppe des Projekts, gibt es auch bereits Tipps für diejeningen, die einen NTP-Dienst unter Windows aufgesetzt haben.
Update 21.12.2014, 18:00: Red Hat stellt bereits aktualisierte Pakete und ein Security-Advisory zu den NTP-Lücken bereit. Nach Angaben der Red-Hat-Maintainer lassen sich die besonders kritischen Remote-Code-Execution-Lücken in der Default-Konfiguration nicht ausnutzen. Das relativiert die Bedrohung und führt zu einer Einstufung lediglich als "wichtig".
2.Update 21.12.2014, 23:30: Auch für Debian gibt es bereits aktualisierte Pakete. (ju)
