Auteur Topic: Kritiek lek in het NTP protocol ontdekt  (gelezen 1171 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Kritiek lek in het NTP protocol ontdekt
« Gepost op: 22 december 2014, 10:26:15 »
Ik las gisteren op security.nl dat er 18 december een kritiek lek in het NTP protocol ontdekt is. Dus kunnen we aannemen dat er binnenkort weer een security update voor de diverse DSM versies uitkomt.  :P

Het NTP protocol is dat van de timeserver. De meesten zullen dit niet bewust aangezet hebben, maar als je Security Station activeert, wordt de timeserver automatisch aangezet.

Op korte termijn zal het risico niet zo groot zijn omdat weinigen de timeserver naar het internet open hebben staan. Echter, als je de nas in de DMZ van je router hebt staan en de timeserver is actief, dan ben je op dit moment wel kwetsbaar.

Citaat
STACK-BASED BUFFER OVERFLOWS
A remote attacker can send a carefully crafted packet that can overflow a stack buffer and potentially allow malicious code to be executed with the privilege level of the ntpd process. All NTP4 releases before 4.2.8 are vulnerable.
This vulnerability is resolved with NTP-stable4.2.8 on December 19, 2014.
CVE-2014-9295i has been assigned by CERT/CC to this vulnerability. A CVSS v2 base score of 7.3 has been assigned; the CVSS vector string is (AV:N/AC:L/Au:N/C:P/I:P/A:P).

MISSING RETURN ON ERROR
In the NTP code, a section of code is missing a return, and the resulting error indicates processing did not stop. This indicated a specific rare error occurred, which does not appear to affect system integrity. All NTP Version 4 releases before Version 4.2.8 are vulnerable.
This vulnerability is resolved with NTP-stable4.2.8 on December 19, 2014.
CVE-2014-9296l has been assigned by CERT/CC to this vulnerability. A CVSS v2 base score of 5.0 has been assigned; the CVSS vector string is (AV:N/AC:L/Au:N/C:N/I:N/A:P).
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Kritiek lek in het NTP protocol ontdekt
« Reactie #1 Gepost op: 23 december 2014, 13:49:51 »
Apple heeft vandaag een update voor dit lek uitgebracht.  :lol:

Meestal is Synology sneller bij dit soort lekken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Kritiek lek in oude Audio Station versies

Gestart door BrioletBoard Audio Station

Reacties: 1
Gelezen: 1487
Laatste bericht 18 juni 2021, 14:03:09
door D4nny
Kritiek lek in BeePhotos

Gestart door D4nnyBoard Synology BeeStation

Reacties: 1
Gelezen: 159
Laatste bericht 04 november 2024, 10:15:13
door Babylonia
OpenSSL komt voor tweede keer in de geschiedenis met update voor kritiek lek

Gestart door BrioletBoard The lounge

Reacties: 1
Gelezen: 744
Laatste bericht 25 oktober 2022, 19:15:08
door Birdy
DS1821+ SHR2 8x16 TB hdd kritiek 4 bad sectors en nu opeens health ok

Gestart door prodigy73Board NAS hardware vragen

Reacties: 18
Gelezen: 3717
Laatste bericht 22 augustus 2021, 00:52:34
door m4v3r1ck
Kritiek lek in twee camera's van Synology zelf

Gestart door BrioletBoard Surveillance Station

Reacties: 0
Gelezen: 476
Laatste bericht 25 november 2023, 12:07:18
door Briolet