Abo
  • Services:
Anzeige
Zeitserver im Internet sind von Sicherheitslücken bedroht.
Zeitserver im Internet sind von Sicherheitslücken bedroht. (Bild: Matteo Ianeselli, Wikmedia Commons, CC by 3.0)

Zeitserver: Sicherheitslücken in NTP

Zeitserver im Internet sind von Sicherheitslücken bedroht.
Zeitserver im Internet sind von Sicherheitslücken bedroht. (Bild: Matteo Ianeselli, Wikmedia Commons, CC by 3.0)

In der Referenzimplementierung des Network Time Protocol (NTP) wurden mehrere Buffer Overflows gefunden, die die Ausführung von Code auf NTP-Servern erlauben.

Anzeige

Die Entwickler der NTP-Software haben eine Sicherheitswarnung herausgegeben. Demnach wurden mehrere Buffer Overflows gefunden, die es einem Angreifer erlauben, Code auf betroffenen Servern auszuführen. Nutzer des NTP-Daemons sollten schnellstmöglich updaten. Zur Zeit ist die Webseite des NTP-Projekts überlastet, sie lässt sich aber über den Google-Cache abrufen.

Zeit setzen über das Internet

Das Network Time Protocol (NTP) dient dazu, die Uhrzeit eines Systems über das Internet zu stellen. Meistens kommt dabei die Referenzimplementierung von NTP zum Einsatz, die sowohl einen Client als auch einen Server bereitstellt. Der NTP-Daemon ist dabei auf vielen Unix-Systemen in der Standardkonfiguration installiert. Der Daemon sorgt zum einen dafür, dass die Uhrzeit in regelmäßigen Abständen geprüft und bei Bedarf neu gesetzt wird, zum anderen kann er auch gleich für weitere Systeme die Uhrzeit bereitstellen.

Entdeckt wurden die Sicherheitslücken von Neel Mehta und Stephen Roettger vom Google-Sicherheitsteam. Neel Mehta hatte bereits den Heartbleed-Bug entdeckt. Neben drei Buffer Overflows an verschiedenen Stellen im NTP-Code wurden noch drei weitere Sicherheitslücken gefunden und behoben. Das NTP-Projekt hat die Version 4.2.8 seiner Software veröffentlicht, die alle Lücken behebt. Wer den NTP-Daemon (ntpd) betreibt, sollte die Software umgehend aktualisieren. Anschließend muss auch sichergestellt werden, dass ntpd neu gestartet wurde. Laut der Webseite Threatpost gibt es bereits öffentlich verfügbare Exploits, die die Lücken ausnutzen.

Die Buffer Overflows haben die CVE-IDs CVE-2014-2014-9295 erhalten. Weiterhin wurden an verschiedenen Stellen im Code schwache Zufallszahlen genutzt (CVE-2014-9293, CVE-2014-9294) und in einer Funktion wurde beim Auftreten von Fehlern der Programmablauf nicht abgebrochen (CVE-2014-9296).

NTP-Protokoll generell problematisch

Das NTP-Protokoll stammt aus den 80er-Jahren und hat in der heutigen Zeit mit einigen Problemen zu kämpfen. NTP-Abfragen sind unverschlüsselt und üblicherweise nicht kryptographisch authentifiziert. Damit sind Man-in-the-Middle-Angriffe auf eine NTP-Verbindung problemlos möglich. Zwar gibt es ein Authentifizierungsprotokoll für NTP, aber es wird selten genutzt und ist auch nicht sicher.

Im Oktober zeigte ein Sicherheitsforscher auf der Black Hat Europe, wie man mit Hilfe gefälschter NTP-Antworten den Schutz des HTTP-Strict-Transport-Security-Protokolls (HSTS) aushebeln kann.

NTP-Server werden auch häufig für sogenannte Reflection-Angriffe genutzt. Dabei wird ausgenutzt, dass das von NTP verwendete UDP-Protokoll ein verbindungsloses Protokoll ist. Ein Angreifer kann ein Paket mit einer gefälschten Absenderadresse an einen NTP-Server schicken, die Antwort landet dann beim Opfer. Wenn die Antwort größer als die Anfrage ist kann man damit Denial-of-Service-Angriffe verstärken. Auch DNS wird gerne für Reflection-Angriffe eingesetzt.

TLS als Alternative zu NTP

Eine Alternative zu NTP ist die Möglichkeit, die Uhrzeit über TLS zu setzen. Denn ein TLS-Paket enthält immer auch einen Zeitstempel (je nach Server muss diese allerdings nicht immer korrekt sein). Das von Jacob Appelbaum entwickelte Tool tlsdate kann hierfür genutzt werden.


eye home zur Startseite
derdiedas 22. Dez 2014

Kritischer ist eher das man den NTP Server selbst übernehmen kann, denn der macht oft...

derdiedas 22. Dez 2014

http://www.endorphino.de/projects/electronics/timemanipulator/index.html

Casandro 20. Dez 2014

Naja, ich denke mal da sind bestimmte Erweiterungen das Problem.

elmex 20. Dez 2014

Dann ist ja gut, Danke ;)

LordGurke 20. Dez 2014

Ich kriege den irgendwie nicht zum Laufen... Oder ist es normal, dass der etwa 20min nach...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Raum Münster
  2. inovex, verschiedene Standorte
  3. P3 group GmbH, Stuttgart, Böblingen
  4. Geberit Verwaltungs GmbH, Pfullendorf


Anzeige
Hardware-Angebote
  1. 184,90€ + 3,99€ Versand (Bestpreis!)
  2. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Megaupload

    Dotcom droht bei Auslieferung volle Anklage in den USA

  2. PC-Markt

    Unternehmen geben deutschen PC-Käufen einen Schub

  3. Ungepatchte Sicherheitslücke

    Google legt sich erneut mit Microsoft an

  4. Torus

    CoreOS gibt weitere Eigenentwicklung auf

  5. Hololens

    Verbesserte AR-Brille soll nicht vor 2019 kommen

  6. Halo Wars 2 im Test

    Echtzeit-Strategie für Supersoldaten

  7. Autonome Systeme

    Microsoft stellt virtuelle Testplattform für Drohnen vor

  8. Limux

    Die tragische Geschichte eines Leuchtturm-Projekts

  9. Betriebssysteme

    Linux 4.10 beschleunigt und verbessert

  10. Supercomputer

    Der erste Exaflops-Rechner wird in China gebaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

  1. Nur mit Controller wirklich spielbar

    Dampfplauderer | 02:14

  2. Re: Verzicht

    Sasayakana | 02:12

  3. Re: Es gab Sackgassen

    jungundsorglos | 02:07

  4. Re: richtig so!

    Eheran | 01:36

  5. Re: Wirklich witzig

    laserbeamer | 01:34


  1. 18:33

  2. 17:38

  3. 16:38

  4. 16:27

  5. 15:23

  6. 14:00

  7. 13:12

  8. 12:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel