Abo
  • Services:

Zeitserver: Sicherheitslücken in NTP

In der Referenzimplementierung des Network Time Protocol (NTP) wurden mehrere Buffer Overflows gefunden, die die Ausführung von Code auf NTP-Servern erlauben.

Artikel veröffentlicht am , Hanno Böck
Zeitserver im Internet sind von Sicherheitslücken bedroht.
Zeitserver im Internet sind von Sicherheitslücken bedroht. (Bild: Matteo Ianeselli, Wikmedia Commons, CC by 3.0)

Die Entwickler der NTP-Software haben eine Sicherheitswarnung herausgegeben. Demnach wurden mehrere Buffer Overflows gefunden, die es einem Angreifer erlauben, Code auf betroffenen Servern auszuführen. Nutzer des NTP-Daemons sollten schnellstmöglich updaten. Zur Zeit ist die Webseite des NTP-Projekts überlastet, sie lässt sich aber über den Google-Cache abrufen.

Zeit setzen über das Internet

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Das Network Time Protocol (NTP) dient dazu, die Uhrzeit eines Systems über das Internet zu stellen. Meistens kommt dabei die Referenzimplementierung von NTP zum Einsatz, die sowohl einen Client als auch einen Server bereitstellt. Der NTP-Daemon ist dabei auf vielen Unix-Systemen in der Standardkonfiguration installiert. Der Daemon sorgt zum einen dafür, dass die Uhrzeit in regelmäßigen Abständen geprüft und bei Bedarf neu gesetzt wird, zum anderen kann er auch gleich für weitere Systeme die Uhrzeit bereitstellen.

Entdeckt wurden die Sicherheitslücken von Neel Mehta und Stephen Roettger vom Google-Sicherheitsteam. Neel Mehta hatte bereits den Heartbleed-Bug entdeckt. Neben drei Buffer Overflows an verschiedenen Stellen im NTP-Code wurden noch drei weitere Sicherheitslücken gefunden und behoben. Das NTP-Projekt hat die Version 4.2.8 seiner Software veröffentlicht, die alle Lücken behebt. Wer den NTP-Daemon (ntpd) betreibt, sollte die Software umgehend aktualisieren. Anschließend muss auch sichergestellt werden, dass ntpd neu gestartet wurde. Laut der Webseite Threatpost gibt es bereits öffentlich verfügbare Exploits, die die Lücken ausnutzen.

Die Buffer Overflows haben die CVE-IDs CVE-2014-2014-9295 erhalten. Weiterhin wurden an verschiedenen Stellen im Code schwache Zufallszahlen genutzt (CVE-2014-9293, CVE-2014-9294) und in einer Funktion wurde beim Auftreten von Fehlern der Programmablauf nicht abgebrochen (CVE-2014-9296).

NTP-Protokoll generell problematisch

Das NTP-Protokoll stammt aus den 80er-Jahren und hat in der heutigen Zeit mit einigen Problemen zu kämpfen. NTP-Abfragen sind unverschlüsselt und üblicherweise nicht kryptographisch authentifiziert. Damit sind Man-in-the-Middle-Angriffe auf eine NTP-Verbindung problemlos möglich. Zwar gibt es ein Authentifizierungsprotokoll für NTP, aber es wird selten genutzt und ist auch nicht sicher.

Im Oktober zeigte ein Sicherheitsforscher auf der Black Hat Europe, wie man mit Hilfe gefälschter NTP-Antworten den Schutz des HTTP-Strict-Transport-Security-Protokolls (HSTS) aushebeln kann.

NTP-Server werden auch häufig für sogenannte Reflection-Angriffe genutzt. Dabei wird ausgenutzt, dass das von NTP verwendete UDP-Protokoll ein verbindungsloses Protokoll ist. Ein Angreifer kann ein Paket mit einer gefälschten Absenderadresse an einen NTP-Server schicken, die Antwort landet dann beim Opfer. Wenn die Antwort größer als die Anfrage ist kann man damit Denial-of-Service-Angriffe verstärken. Auch DNS wird gerne für Reflection-Angriffe eingesetzt.

TLS als Alternative zu NTP

Eine Alternative zu NTP ist die Möglichkeit, die Uhrzeit über TLS zu setzen. Denn ein TLS-Paket enthält immer auch einen Zeitstempel (je nach Server muss diese allerdings nicht immer korrekt sein). Das von Jacob Appelbaum entwickelte Tool tlsdate kann hierfür genutzt werden.



Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

derdiedas 22. Dez 2014

Kritischer ist eher das man den NTP Server selbst übernehmen kann, denn der macht oft...

derdiedas 22. Dez 2014

http://www.endorphino.de/projects/electronics/timemanipulator/index.html

Casandro 20. Dez 2014

Naja, ich denke mal da sind bestimmte Erweiterungen das Problem.

elmex 20. Dez 2014

Dann ist ja gut, Danke ;)

LordGurke 20. Dez 2014

Ich kriege den irgendwie nicht zum Laufen... Oder ist es normal, dass der etwa 20min nach...


Folgen Sie uns
       


Azio Retro Classic Tastatur - Test

Die Azio Retro Classic sieht mehr nach Schreibmaschine als nach moderner Tastatur aus. Die von Azio mit Kaihua entwickelten Switches bieten eine angenehme Taktilität, für Vieltipper ist die Tastatur sehr gut geeignet.

Azio Retro Classic Tastatur - Test Video aufrufen
Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    Landwirtschafts-Simulator auf dem C64: Auf zum Pixelernten!
    Landwirtschafts-Simulator auf dem C64
    Auf zum Pixelernten!

    In der Collector's Edition des Landwirtschafts-Simulators 19 ist das Spiel gleich zwei Mal enthalten - einmal für den PC und einmal für den C64. Wir haben die Version für Commodores Heimcomputer auf unserem Redaktions-C64 gespielt, stilecht von der Cartridge geladen.
    Ein Test von Tobias Költzsch

    1. Giants Software Ländliche Mods auf Playstation und Xbox

    Bootcamps: Programmierer in drei Monaten
    Bootcamps
    Programmierer in drei Monaten

    Um Programmierer zu werden, reichen ein paar Monate Intensiv-Training, sagen die Anbieter von IT-Bootcamps. Die Bewerber müssen nur eines sein: extrem motiviert.
    Von Juliane Gringer

    1. Nordkorea Kaum Fehler in der Matrix
    2. Security Forscher können Autoren von Programmiercode identifizieren
    3. Stack Overflow Viele Entwickler wohnen in Bayern und sind männlich

      •  /