La Network Time Foundation ha publicado una nueva versión de ntpd destinada a corregir 15 vulnerabilidades, que podrían permitir provocar condiciones de denegación de servicio y desbordamientos de búfer.

NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.

Los problemas corregidos incluyen seis de importancia media, cinco de riesgo bajo y cuatro de nivel informativo. También se corrigen otros 15 fallos no relacionados con la seguridad y otras mejoras.

Los problemas considerados más graves consisten en una denegación de servicio en servidores NTP a través de directivas de configuración específicamente construidas (CVE-2017-6464), una denegación de servicio en servidores NTP si un atacante remoto autenticado envía una configuración no válida a través de la directiva :config (CVE-2017-6463), desbordamientos de búfer en funciones ctl_put() (CVE-2017-6458), un desbordamiento de búfer en ntpq cuando solicita la lista de restricciones de un servidor ntpd malicioso (CVE-2017-6460) y por último una denegación de servicio en la funcionalidad de comprobación de marcas de tiempo de origen (CVE-2016-9042).

Se recomienda actualizar a la versión 4.2.8p10 disponible desde:

http://www.ntp.org/downloads.html

Más información:

March 2017 ntp-4.2.8p10 NTP Security Vulnerability Announcement

http://support.ntp.org/bin/view/Main/SecurityNotice#March_2017_ntp_4_2_8p10_NTP_Secu

Antonio Ropero

[email protected]

Twitter: @aropero