Pagina's: [1]

Auteur Topic: Kritiek lek in het NTP protocol ontdekt  (gelezen 1305 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 181
  • -Ontvangen: 2696
  • Berichten: 16.676
Kritiek lek in het NTP protocol ontdekt
« Gepost op: 22 december 2014, 10:26:15 »
Ik las gisteren op security.nl dat er 18 december een kritiek lek in het NTP protocol ontdekt is. Dus kunnen we aannemen dat er binnenkort weer een security update voor de diverse DSM versies uitkomt.  :P

Het NTP protocol is dat van de timeserver. De meesten zullen dit niet bewust aangezet hebben, maar als je Security Station activeert, wordt de timeserver automatisch aangezet.

Op korte termijn zal het risico niet zo groot zijn omdat weinigen de timeserver naar het internet open hebben staan. Echter, als je de nas in de DMZ van je router hebt staan en de timeserver is actief, dan ben je op dit moment wel kwetsbaar.

Citaat
STACK-BASED BUFFER OVERFLOWS
A remote attacker can send a carefully crafted packet that can overflow a stack buffer and potentially allow malicious code to be executed with the privilege level of the ntpd process. All NTP4 releases before 4.2.8 are vulnerable.
This vulnerability is resolved with NTP-stable4.2.8 on December 19, 2014.
CVE-2014-9295i has been assigned by CERT/CC to this vulnerability. A CVSS v2 base score of 7.3 has been assigned; the CVSS vector string is (AV:N/AC:L/Au:N/C:P/I:P/A:P).

MISSING RETURN ON ERROR
In the NTP code, a section of code is missing a return, and the resulting error indicates processing did not stop. This indicated a specific rare error occurred, which does not appear to affect system integrity. All NTP Version 4 releases before Version 4.2.8 are vulnerable.
This vulnerability is resolved with NTP-stable4.2.8 on December 19, 2014.
CVE-2014-9296l has been assigned by CERT/CC to this vulnerability. A CVSS v2 base score of 5.0 has been assigned; the CVSS vector string is (AV:N/AC:L/Au:N/C:N/I:N/A:P).
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 181
  • -Ontvangen: 2696
  • Berichten: 16.676
Re: Kritiek lek in het NTP protocol ontdekt
« Reactie #1 Gepost op: 23 december 2014, 13:49:51 »
Apple heeft vandaag een update voor dit lek uitgebracht.  :lol:

Meestal is Synology sneller bij dit soort lekken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac
Pagina's: [1]
 

Kritiek lek in oude Audio Station versies

Gestart door BrioletBoard Audio Station

 Reacties: 1
Gelezen: 1564 		Laatste bericht 18 juni 2021, 14:03:09
door D4nny
Kritiek lek in BeePhotos

Gestart door D4nnyBoard Synology BeeStation

 Reacties: 1
Gelezen: 421 		Laatste bericht 04 november 2024, 10:15:13
door Babylonia
OpenSSL komt voor tweede keer in de geschiedenis met update voor kritiek lek

Gestart door BrioletBoard The lounge

 Reacties: 1
Gelezen: 895 		Laatste bericht 25 oktober 2022, 19:15:08
door Birdy
DS1821+ SHR2 8x16 TB hdd kritiek 4 bad sectors en nu opeens health ok

Gestart door prodigy73Board NAS hardware vragen

 Reacties: 18
Gelezen: 6127 		Laatste bericht 22 augustus 2021, 00:52:34
door m4v3r1ck
Kritiek lek in twee camera's van Synology zelf

Gestart door BrioletBoard Surveillance Station

 Reacties: 0
Gelezen: 639 		Laatste bericht 25 november 2023, 12:07:18
door Briolet