Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità di tipo DoS in NTP

denial-of-service  NTP  ntpd   martedì, 12 marzo 2019

NTP (Network Time Protocol) è un protocollo distribuito per la sincronizzazione degli orologi interni dei computer basato principalmente su un’architettura client-server.

È stata scoperta una vulnerabilità di media gravità (CVE-2019-8936) nell’implementazione di riferimento di NTP (ntpd), nelle versioni precedenti alla 4.2.8p13.

La vulnerabilità è legata ad un errore di tipo NULL pointer dereference che causa, in determinate circostanze, il crash di ntpd. Un attaccante in grado di inviare un pacchetto autenticato mode 6 appositamente predisposto da una sorgente attendibile mediante il comando ntpq potrebbe innescare l’errore e causare una condizione di denial of service sul sistema bersaglio.

Questa vulnerabilità è stata risolta in NTP versione 4.2.8p13. Si raccomanda di installare l’aggiornamento relativo alla propria piattaforma al più presto, dopo opportuno testing.

Per maggiori informazioni sulla vulnerabilità e sugli aggiornamenti disponibili si raccomanda di consultare il relativo bollettino di sicurezza di NTP.org.

Per ulteriori informazioni è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità multiple in ISC BIND 9

3 maggio 2019

Sono state riscontrate tre diverse vulnerabilità in ISC BIND 9, la più grave delle quali può causare condizioni di denial of service o di degrado del servizio.Leggi tutto

Dragonblood: vulnerabilità nel protocollo Wi-Fi WPA3

15 aprile 2019

Sono state identificate numerose vulnerabilità nella progettazione e nelle implementazioni del protocollo WPA3 che possono consentire ad un attaccante di violare reti Wi-Fi.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (aprile 2019)

11 aprile 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto