JVNDB-2014-007353

NTP の ntpd の ntp_proto.c の receive 関数における意図しない関連付けの変更を誘発される脆弱性

NTP の ntpd の ntp_proto.c の receive 関数には、特定の認証エラーを検出後、処理を継続し、意図しない関連付けの変更を誘発される脆弱性が存在します。

補足情報 : CWE による脆弱性タイプは、CWE-17: Code (コード) と識別されています。
http://cwe.mitre.org/data/definitions/17.html

NTP Project

• NTP 4.2.8 未満

オラクル

• Oracle Communications Policy Management 10.4.1
• Oracle Communications Policy Management 12.1.1 およびそれ以前
• Oracle Communications Policy Management 9.7.3
• Oracle Communications Policy Management 9.9.1

ヒューレット・パッカード

• HP Virtualization Performance Viewer 1.X
• HP Virtualization Performance Viewer 2.0
• HP Virtualization Performance Viewer 2.01
• HP Virtualization Performance Viewer 2.10

日本電気

• Express5800 /SIGMABLADE EMカード(N8405-043)用ファームウェア Rev.14.02 以前
• iStorage Neシングルモデル/クラスタモデル Ver.002.08.08 以前のバージョン
• iStorage NV7400/NV5400/NV3400シリーズ
• iStorage NV7500/NV5500/NV3500シリーズ
• SecureBranch Version 3.2
• UNIVERGE 3C CMM

日立

• HA8000シリーズ 

本脆弱性の影響を受けるシスコシステムズ製品の詳細については、ベンダ情報 cisco-sa-20141222-ntpd をご確認ください。

本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 NV15-009 をご確認ください。

本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 サーバ・クライアント製品セキュリティ情報 をご確認ください。

第三者により、巧妙に細工されたパケットを介して、意図しない関連付けの変更を誘発される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

NTP Project

• NTP Bugzilla : Bug 2670
• ntp.org : All diffs for ChangeSet 1.3249
• ntp.org : Security Notice

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2016
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices
• SECURITY BLOG : Multiple vulnerabilities in NTP
• SECURITY BLOG : October 2016 Critical Patch Update Released

シスコシステムズ

• Cisco Security Advisory : cisco-sa-20141222-ntpd
• シスコ セキュリティアドバイザリ : cisco-sa-20141222-ntpd

ヒューレット・パッカード

• HP Security Bulletin : HPSBGN03277 SSRT101957

ミラクル・リナックス

• Asianux Technical Support Network : ntp-4.2.6p5-2.0.2.AXS4

レッドハット

• Red Hat Bugzilla : Bug 1176040
• Red Hat Security Advisory : RHSA-2015:0104

日本電気

• NEC製品セキュリティ情報 : NV15-009

日立

• サーバ・クライアント製品セキュリティ情報 : サーバ・クライアント製品 Network Time Protocol daemon (ntpd)の脆弱性(CVE-2014-9293〜9296)による影響について

1. その他(CWE-Other) [NVD評価]

1. CVE-2014-9296

1. JVN : JVNVU#96605606
2. National Vulnerability Database (NVD) : CVE-2014-9296
3. US-CERT Vulnerability Note : VU#852879
4. ICS-CERT ADVISORY : ICSA-14-353-01C
5. 関連文書 : MGASA-2014-0541

• [2014年12月24日]
    掲載
  [2014年12月25日]
    参考情報：JVN (JVNVU#96605606) を追加
  [2015年01月28日]
    ベンダ情報：オラクル (Multiple vulnerabilities in NTP) を追加
  [2015年02月02日]
    ベンダ情報：ミラクル・リナックス (ntp-4.2.2p1-18.0.1.AXS3) を追加
    ベンダ情報：ミラクル・リナックス (ntp-4.2.6p5-2.0.2.AXS4) を追加
  [2015年02月16日]
    参考情報：ICS-CERT ADVISORY (ICSA-14-353-01C) を追加
  [2015年03月24日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報追加：シスコシステムズ (cisco-sa-20141222-ntpd) を追加
  [2015年05月12日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：ヒューレット・パッカード (HPSBGN03277 SSRT101957) を追加
    ベンダ情報：レッドハット (RHSA-2015:0104) を追加
    参考情報：関連文書 (MGASA-2014-0541) を追加
  [2015年07月29日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日本電気 (NV15-009) を追加
  [2015年11月25日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2015年12月16日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日立 (サーバ・クライアント製品 Network Time Protocol daemon (ntpd)の脆弱性(CVE-2014-9293〜9296)による影響について) を追加
  [2016年02月01日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2016年06月23日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2016年11月09日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2016年11月22日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
    ベンダ情報：オラクル (October 2016 Critical Patch Update Released) を追加