Уязвимость демона NTP

10 Dec 2009 | Автор: anchous |

В NTP найдена уязвимость способная привести к отказу в обслуживания сервера (denial-of-service). Самая уязвимость должна быть знакома любителям собак, которые могли бы наблюдать своего питомца в бесконечной охоте за собственным хвостом. Для реализации уязвимости достаточно специально сконфигурированного пакета который будет порождать цикличную ошибку, пересылаемую демоном NTP самом себе или удаленному серверу NTP, которая и приведет к загрузке CPU и отказу в обслуживании.

Решений проблемы может быть несколько:

Обновить демона до версии NTP 4.2.4p8, которую можно скачать с офф. сайта ntp.org.

С помощью параметров “restrict … noquery” и “restrict … ignore” заданных в конфигурационном файле ntp.conf , задать ntpd демону ограничение на количество адресов источника ответа.

Поднять фильтрацию на пакеты NTP mode 7 по портам 123, поскольку ответ ntpdc mode 7 будет иметь порт источника или назначения 123, но не оба сразу.

Использовать фильтры для анти-спуффинга IP адресов

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Теги: ,

Ваш отзыв