Уязвимость демона NTP
Thursday, 10 Dec 2009В NTP найдена уязвимость способная привести к отказу в обслуживания сервера (denial-of-service). Самая уязвимость должна быть знакома любителям собак, которые могли бы наблюдать своего питомца в бесконечной охоте за собственным хвостом. Для реализации уязвимости достаточно специально сконфигурированного пакета который будет порождать цикличную ошибку, пересылаемую демоном NTP самом себе или удаленному серверу NTP, которая и приведет к загрузке CPU и отказу в обслуживании.
Решений проблемы может быть несколько:
Обновить демона до версии NTP 4.2.4p8, которую можно скачать с офф. сайта ntp.org.
С помощью параметров “restrict … noquery” и “restrict … ignore” заданных в конфигурационном файле ntp.conf , задать ntpd демону ограничение на количество адресов источника ответа.
Поднять фильтрацию на пакеты NTP mode 7 по портам 123, поскольку ответ ntpdc mode 7 будет иметь порт источника или назначения 123, но не оба сразу.
Использовать фильтры для анти-спуффинга IP адресов
