安全审计人员发现16项NTP安全漏洞

德国安全企业Cure53公司的研究人员对网络时间协议(简称NTP)以及NTPsec项目进行了为期32天的审计,并从中发现十余项安全漏洞。

专家们共确定了16项与安全相关的问题,其中包括仅影响NTP的8项安全漏洞以及仅影响NTPsec的2项安全漏洞,这意味着NTP在实施层面迎来了安全、强化与改进。

Cure53公司已经发布了多份分别面向NTP与NTPsec相关安全问题的独立报告。

本月早些时候,网络时间基金会已基于ntp-4.2.8p10的发布解决了上述安全漏洞。

Cure53公司将其中一项编号为CVE-2017-6460的安全漏洞列为高危条目。这一漏洞被描述为当客户端请求限制列表时,恶意服务器可触发一项基于堆栈的缓冲区溢出问题。此项漏洞可被用于引发宕机,甚至可能用于执行任意代码。

另外,漏洞编号CVE-2017-6463与CVE-2017-6464的这两项漏洞被Cure53公司列为危险,二者皆可被用于执行DoS攻击。

虽然一部分漏洞被Cure3公司分类为高危及危险,但NTP开发人员只对此次发现的漏洞分配了中级、低级与通知级严重程度。

审计人员发现十余项NTP安全漏洞-E安全.jpg

  ntp-4.2.8p10补丁存在15项安全漏洞

此次发布的ntp-4.2.8p10补丁共囊括15项安全漏洞,其中亦包含部分非安全性修复与改进。这一最新版本共解决了15项安全漏洞,其中14项由Cure53公司所发现。值得一提的是,曾经于2014年12月得到修复的一项安全漏洞于2016年11月被再度提出。

在ntp-4.2.8p10中得到修复的惟一非Cure53安全漏洞由思科Talos研究人员所报告。专家们发现这项DoS安全漏洞会对原始时间戳检查功能造成影响。思科为此专门发布了一篇博文与一篇技术咨询描述此项问题。

除此之外,Cure53公司最近还进行了其它一系列审计工作。在过去几个月中,该公司分别对cURL数据传输工具与Dovecot邮件服务器进行了核查。

本文转自d1net(转载)

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值