JVNVU#94410990
NTP.org の ntpd にサービス運用妨害 (DoS) など複数の脆弱性

NTP.org が提供する Network Time Protocol daemon (ntpd) には複数の脆弱性が存在します。

• ntp-4.2.8p8 より前のバージョンの ntp-4 系
• ntp-4.3.93 より前のバージョンの ntp-4.3 系

NTP Project (NTP.org) が提供する Network Time Protocol daemon (ntpd) には複数の脆弱性が存在します。それぞれの概要は次の通りですが、詳細は NTP Project が提供する情報をご確認ください。

• NTP Bug 3046 CRYPTO_NAK におけるサービス運用妨害 (DoS) - CVE-2016-4957
  ※ NTP Bug 3007 (JVNVU#91176422) に対する追加修正です。

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H	基本値: 7.5
  CVSS v2	AV:N/AC:L/Au:N/C:N/I:N/A:C	基本値: 7.8

• NTP Bug 3045 不正な認証処理による時刻同期の無効化 - CVE-2016-4953

  CVSS v3	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L	基本値: 3.7
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:N/A:P	基本値: 2.6

• NTP Bug 3044 不正なサーバパケットの処理 - CVE-2016-4954

  CVSS v3	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L	基本値: 3.7
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:N/A:P	基本値: 2.6

• NTP Bug 3043 不正なパケットによる autokey 認証に基づく時刻同期の無効化 - CVE-2016-4955

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L	基本値: 3.7
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:N/A:P	基本値: 2.6

• NTP Bug 3042 broadcast クライアントに対するインターリーブモードの強制 - CVE-2016-4956
  ※ NTP Bug 2978 (JVNVU#91176422) に対する追加修正です。

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L	基本値: 3.7
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:N/A:P	基本値: 2.6

遠隔の第三者により細工されたパケットを処理することで、サービス運用妨害 (DoS) 状態にされる可能性があります。

アップデートする
本脆弱性を修正した ntp-4.2.8p8 および ntp-4.3.93 がリリースされています。
開発者が提供する情報をもとに、最新版へアップデートしてください。