Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità di tipo DoS in NTP

denial-of-service  NTP  ntpd   martedì, 12 marzo 2019

NTP (Network Time Protocol) è un protocollo distribuito per la sincronizzazione degli orologi interni dei computer basato principalmente su un’architettura client-server.

È stata scoperta una vulnerabilità di media gravità (CVE-2019-8936) nell’implementazione di riferimento di NTP (ntpd), nelle versioni precedenti alla 4.2.8p13.

La vulnerabilità è legata ad un errore di tipo NULL pointer dereference che causa, in determinate circostanze, il crash di ntpd. Un attaccante in grado di inviare un pacchetto autenticato mode 6 appositamente predisposto da una sorgente attendibile mediante il comando ntpq potrebbe innescare l’errore e causare una condizione di denial of service sul sistema bersaglio.

Questa vulnerabilità è stata risolta in NTP versione 4.2.8p13. Si raccomanda di installare l’aggiornamento relativo alla propria piattaforma al più presto, dopo opportuno testing.

Per maggiori informazioni sulla vulnerabilità e sugli aggiornamenti disponibili si raccomanda di consultare il relativo bollettino di sicurezza di NTP.org.

Per ulteriori informazioni è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità critica in VLC media player

24 luglio 2019

È stata recentemente scoperta una vulnerabilità critica in VideoLAN VLC media player che può consentire l'esecuzione di codice arbitrario.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (luglio 2019)

11 luglio 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto

Aggiornamenti di sicurezza per prodotti VMware

3 luglio 2019

VMware ha rilasciato un avviso di sicurezza relativo a due vulnerabilità nell'implementazione di TCP SACK del kernel Linux che affliggono un gran numero di prodotti.Leggi tutto