Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità di tipo DoS in NTP

denial-of-service  NTP  ntpd   martedì, 12 marzo 2019

NTP (Network Time Protocol) è un protocollo distribuito per la sincronizzazione degli orologi interni dei computer basato principalmente su un’architettura client-server.

È stata scoperta una vulnerabilità di media gravità (CVE-2019-8936) nell’implementazione di riferimento di NTP (ntpd), nelle versioni precedenti alla 4.2.8p13.

La vulnerabilità è legata ad un errore di tipo NULL pointer dereference che causa, in determinate circostanze, il crash di ntpd. Un attaccante in grado di inviare un pacchetto autenticato mode 6 appositamente predisposto da una sorgente attendibile mediante il comando ntpq potrebbe innescare l’errore e causare una condizione di denial of service sul sistema bersaglio.

Questa vulnerabilità è stata risolta in NTP versione 4.2.8p13. Si raccomanda di installare l’aggiornamento relativo alla propria piattaforma al più presto, dopo opportuno testing.

Per maggiori informazioni sulla vulnerabilità e sugli aggiornamenti disponibili si raccomanda di consultare il relativo bollettino di sicurezza di NTP.org.

Per ulteriori informazioni è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità critiche in switch Ethernet industriali Moxa

12 marzo 2019

Sono state scoperte diverse vulnerabilità critiche in switch Ethernet industriali delle famiglie IKS e EDS prodotti da Moxa.Leggi tutto

Vulnerabilità multiple in ISC Bind

25 febbraio 2019

Sono state riscontrate tre diverse vulnerabilità in ISC BIND 9, le più gravi delle quali possono causare condizioni di denial of service o di degrado del servizio.Leggi tutto

Grave vulnerabilità in Cisco Network Assurance Engine

14 febbraio 2019

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità di gravità elevata nel prodotto software Cisco Network Assurance Engine (NAE).Leggi tutto