JVNDB-2013-005768

NTP の ntpd の ntp_request.c 内の monlist 機能におけるサービス運用妨害 (DoS) の脆弱性

NTP の ntpd の ntp_request.c 内の monlist 機能には、サービス運用妨害 (トラフィック増幅) 状態にされる脆弱性が存在します。

本脆弱性への攻撃が 2013 年 12 月に観測されています。

補足情報 : CWE による脆弱性タイプは、CWE-406: ネットワークメッセージ量の不十分な制御 (ネットワーク増幅) と識別されています。
http://cwe.mitre.org/data/definitions/406.html

NTP Project

• NTP 4.2.7p26 未満

アラクサラネットワークス

• AX2000Rシリーズ
• AX2400Sシリーズ
• AX3600Sシリーズ
• AX3800Sシリーズ
• AX5400Sシリーズ
• AX6300Sシリーズ
• AX6600Sシリーズ
• AX6700Sシリーズ
• AX7700Rシリーズ
• AX7800Rシリーズ
• AX7800Sシリーズ
• AX8600Rシリーズ

日本電気

• iStorage NV7400/NV5400/NV3400シリーズ
• iStorage NV7500/NV5500/NV3500シリーズ
• UNIVERGE IP8800
• UNIVERGE PFシリーズ

日立

• GR2000
• GR2000 (b_model) 
• GR4000
• GS3000
• GS4000

本脆弱性の影響を受ける日本電気、日立、富士通製品の詳細については、各ベンダの提供する情報をご確認ください。

日本電気：NV14-001 および NV15-006
日立：「NTPに関する脆弱性」のご報告
富士通：TA14-013A


以下の製品も本脆弱性の影響を受けます。詳細につきましては、各ベンダの提供する情報をご確認ください。

株式会社インターネットイニシアティブ：NTPがDDoS攻撃の踏み台として使用される問題のSEILシリーズへの影響について
アラクサラネットワークス：AX-VU2014-01
アライドテレシス：アライドテレシス株式会社からの情報

第三者により、偽造された (1) REQ_MON_GETLIST または (2) REQ_MON_GETLIST_1 リクエストを介して、サービス運用妨害 (トラフィック増幅) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

IBM

• IBM Security Bulletin : MIGR-5095861
• IBM Security Bulletin : MIGR-5095892

NetBSD

• NetBSD : NetBSD Security Advisory 2014-002

NTP Project

• NTP Bugzilla : Bug 1532 - remove ntpd support for ntpdc's monlist (use ntpq's mrulist)
• ntp.org : NTP Software Downloads

アライドテレシス

• JVN : アライドテレシス株式会社からの情報

アラクサラネットワークス

• セキュリティ情報 : AX-VU2014-01

インターネットイニシアティブ

• サポート＆技術情報 : NTPがDDoS攻撃の踏み台として使用される問題のSEILシリーズへの影響について

オラクル

• SECURITY BLOG : CVE-2013-5211 Input Validation vulnerability in NTP

ターボリナックス

• Turbolinux Security Advisory : TLSA-2014-2

日本電気

• NEC製品セキュリティ情報 : NV14-001

日立

• 日立 : 「NTPに関する脆弱性」のご報告

富士通

• 富士通 セキュリティ情報 : TA14-013A

1. 不適切な入力確認(CWE-20) [NVD評価]
2. その他(CWE-Other) [IPA評価]

1. CVE-2013-5211

1. JVN : JVNVU#96176042
2. National Vulnerability Database (NVD) : CVE-2013-5211
3. US-CERT Vulnerability Note : VU#348126
4. US-CERT Technical Cyber Security Alert : TA14-013A
5. US-CERT Technical Cyber Security Alert : TA14-017A
6. 関連文書 : ntp-dev-4.2.7p26.tar.gz

• [2014年01月07日]
    掲載
  [2014年01月15日]
    概要：内容を更新
    ベンダ情報：NetBSD (NetBSD Security Advisory 2014-002) を追加
    ベンダ情報：NTP Project (NTP Software Downloads) を追加
    CWE による脆弱性タイプ一覧：内容を更新
    参考情報：JVN (JVNVU#96176042) を追加
    参考情報：US-CERT Vulnerability Note (VU#348126) を追加
    参考情報：US-CERT Technical Cyber Security Alert (TA14-013A) を追加
  [2014年01月27日]
    影響を受けるシステム：内容を更新
    ベンダ情報：株式会社インターネットイニシアティブ (NTPがDDoS攻撃の踏み台として使用される問題のSEILシリーズへの影響について) を追加
    ベンダ情報：日本電気 (NV14-001) を追加
    ベンダ情報：日立 (「NTPに関する脆弱性」のご報告) を追加
    ベンダ情報：アラクサラネットワーク (AX-VU2014-01) を追加
  [2014年02月05日]
    ベンダ情報：アライドテレシス (アライドテレシス株式会社からの情報) を追加
  [2014年02月10日]
    影響を受けるシステム：内容を更新
  [2014年02月18日]
    参考情報：US-CERT Technical Cyber Security Alert (TA14-017A) を追加
  [2014年04月09日]
    影響を受けるシステム：内容を更新
  [2014年05月08日]
    影響を受けるシステム：内容を更新
    ベンダ情報：オラクル (CVE-2013-5211 Input Validation vulnerability in NTP) を追加
    ベンダ情報：富士通 (TA14-013A) を追加
  [2014年06月26日]
    ベンダ情報：ターボリナックス (TLSA-2014-2) を追加
  [2015年08月07日]
    ベンダ情報：IBM (MIGR-5095861) を追加
    ベンダ情報：IBM (MIGR-5095892) を追加
  [2016年02月01日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新