Grupos de Trabalho - Documento GT-S
NIC BR Security Office <nbso@nic.br >
Vulnerabilidade remota no ntpd (<= 4.0.99k)
1. Introdução
O GT-ER e GT-S tem recomendado fortemente a adoção do NTP (Network Time Protocol), fato que implicou num aumento significativo no numero de servidores rodando este serviço.
O daemon ntpd é utilizado em muitas máquinas Unix, sendo grande o impacto da vulnerabilidade descrita a seguir.
2. Descrição
Foi descoberto um buffer overflow no Network Time Protocol Daemon (ntpd) presente em alguns sistemas. A vulnerabilidade permite a um atacante remoto executar comandos arbitrários com os mesmos privilégios do daemon ntpd, geralmente root.
Um programa que explora de forma semi-automática a vulnerabilidade foi divulgado na lista bugtraq e ha' razoes para acreditar que outras versões já devem estar disponíveis no underground.
3. Sistemas Afetados
Sistemas rodando ntpd <= 4.0.99k em FreeBSD 4.0 a 4.3 e Linux Red
Hat 7.0 são vulneráveis. Outros sistemas operacionais usando versões antigas de ntpd podem também ser vulneráveis. Procure maiores detalhes nos sites relativos a segurança do seu sistema operacional.
4. Impacto
Um atacante remoto pode executar comandos arbitrários com os mesmos privilégios do daemon ntpd, geralmente root.
5. Solução
Atualize imediatamente sua versão de ntpd.
Como medida paleativa, atá a atualização do seu ntpd, recomendamos filtrar o trafego 123/UDP.
Usuarios de snort podem logar trafigo malicioso para as suas máquinas com:
alert udp any any - > any 123 (msg: "UDP/123 /bin/sh in packet"; content:"/bin/sh";)
alert udp any any - > any 123 (msg: "UDP/123 /tmp/sh in packet"; content:"/tmp/sh";)
6. Informações adicionais
* O programa divulgado na bugtraq:
https://packetderm.cotse.com/mailing-lists/bugtraq/2001/Apr/0048.html
* Latest information on Network Time Protocol (NTP)
https://www.ntp.org
Vulnerabilidade remota no ntpd (<= 4.0.99k)
1. Introdução
O GT-ER e GT-S tem recomendado fortemente a adoção do NTP (Network Time Protocol), fato que implicou num aumento significativo no numero de servidores rodando este serviço.
O daemon ntpd é utilizado em muitas máquinas Unix, sendo grande o impacto da vulnerabilidade descrita a seguir.
2. Descrição
Foi descoberto um buffer overflow no Network Time Protocol Daemon (ntpd) presente em alguns sistemas. A vulnerabilidade permite a um atacante remoto executar comandos arbitrários com os mesmos privilégios do daemon ntpd, geralmente root.
Um programa que explora de forma semi-automática a vulnerabilidade foi divulgado na lista bugtraq e ha' razoes para acreditar que outras versões já devem estar disponíveis no underground.
3. Sistemas Afetados
Sistemas rodando ntpd <= 4.0.99k em FreeBSD 4.0 a 4.3 e Linux Red
Hat 7.0 são vulneráveis. Outros sistemas operacionais usando versões antigas de ntpd podem também ser vulneráveis. Procure maiores detalhes nos sites relativos a segurança do seu sistema operacional.
4. Impacto
Um atacante remoto pode executar comandos arbitrários com os mesmos privilégios do daemon ntpd, geralmente root.
5. Solução
Atualize imediatamente sua versão de ntpd.
Como medida paleativa, atá a atualização do seu ntpd, recomendamos filtrar o trafego 123/UDP.
Usuarios de snort podem logar trafigo malicioso para as suas máquinas com:
alert udp any any - > any 123 (msg: "UDP/123 /bin/sh in packet"; content:"/bin/sh";)
alert udp any any - > any 123 (msg: "UDP/123 /tmp/sh in packet"; content:"/tmp/sh";)
6. Informações adicionais
* O programa divulgado na bugtraq:
https://packetderm.cotse.com/mailing-lists/bugtraq/2001/Apr/0048.html
* Latest information on Network Time Protocol (NTP)
https://www.ntp.org
7. Agradecimentos
Pedro A M Vazquez <vazquez@iqm.unicamp.br >
Nelson Murilo <nelson@pangeia.com.br >
Ricardo Bueno da Silva <rbueno@ccuec.unicamp.br >
Frederico A C Neves <fneves@registro.br >
Hugo Koji Kobayashi <koji@registro.br >