Japan
サイト内の現在位置を表示しています。
Network Time Protocol daemon (ntpd)に複数の脆弱性
掲載番号:NV15-009
脆弱性情報識別番号:JVNVU#96605606, VU#852879
概要
Network Time Protocol daemon (ntpd)には複数の脆弱性が存在します。
- CVE-2014-9293
ntp.confファイルでauth keyが設定されていない場合、暗号強度の不十分なデフォルト鍵が生成されます。
- CVE-2014-9294
4.2.7p230より前のバージョンのntp-keygenは、弱いシード値で暗号論的に不適切な乱数生成器を使い、対称鍵を生成します。
- CVE-2014-9295
ntpdのcrypto_recv() (autokey 認証利用時)、ctl_putdata()、およびconfigure()には、
細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在します。
細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在します。
- CVE-2014-9296
ntpdにおいて特定のエラー処理を行うコードにreturn式が存在しない箇所が存在するため、
エラー発生時に処理が停止しない問題があります。
エラー発生時に処理が停止しない問題があります。
- CVE-2014-9297
ntp_crypto.cにおいて拡張フィールドの長さ(vallen)の値が正しく検証されていないため、
情報漏えいやプログラムの異常終了が発生する可能性があります。
情報漏えいやプログラムの異常終了が発生する可能性があります。
- CVE-2014-9298
ソースアドレスをIPv6アドレス ::1 に偽装されると、ACLによる制限を回避される可能性があります。
対象製品
Express5800/SG
影響の有無
影響あり
下記「対象となる製品のバージョン」の製品がCVE-2014-9295の影響を受けます。
下記「対象となる製品のバージョン」の製品がCVE-2014-9295の影響を受けます。
対象となる製品のバージョン
Express5800/SG 全バージョン
対処方法
[対策]
以下のURLでパッチを公開しています。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103720
パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010103720
パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。
Express5800/SIGMABLADE
影響の有無
影響あり
SIGMABLADE EMカード(N8405-043)で影響を受けます。ただし、NTP機能を利用しない (=無効に設定する) のであれば影響ありません。
SIGMABLADE EMカード(N8405-043)で影響を受けます。ただし、NTP機能を利用しない (=無効に設定する) のであれば影響ありません。
対象となる製品のバージョン
- SIGMABLADE EMカード(N8405-043)用ファームウェア: Rev.14.02 以前
対処方法
[対策]
ファームウェアのアップデートを行ってください。
- SIGMABLADE EMカード(N8405-043)用ファームウェア: Rev.15.02 以降
iStorage Neシリーズ
影響の有無
影響あり
iStoarge Neシングルモデル/クラスタモデルで影響があります。
iStoarge Neシングルモデル/クラスタモデルで影響があります。
対象となる製品のバージョン
Ver.002.08.08以前のバージョン
対処方法
[対策]
次のバージョンで対処完了しています。
詳細は次の保守契約者様向けサイトを参照ください。
https://www.support.nec.co.jp/View.aspx?id=3150109371
- Ver.002.08.09以降
詳細は次の保守契約者様向けサイトを参照ください。
https://www.support.nec.co.jp/View.aspx?id=3150109371
iStorage NVシリーズ
影響の有無
影響あり
対象となる製品のバージョン
NV7500/NV5500/NV3500シリーズ
NV7400/NV5400/NV3400シリーズ
(それ以前のバージョンはサポート停止済み)
NV7400/NV5400/NV3400シリーズ
(それ以前のバージョンはサポート停止済み)
対処方法
[対策]
iStorage NV標準修正SC62-0016にて保守契約者向けに修正物件を公開しています。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104
SecureBranch
影響の有無
影響あり
対象となる製品のバージョン
Version:3.2
対処方法
[対策]
ntpdのパッチを保守契約者様向けサイトで公開しています。
サイトの詳細につきましては弊社営業にお問合せください。
サイトの詳細につきましては弊社営業にお問合せください。
UNIVERGE 3C
影響の有無
影響あり
※原因となるバージョンのntpをUbuntu OSの配布物として含んでおり、インストール直後から動作しているため影響があります。
※原因となるバージョンのntpをUbuntu OSの配布物として含んでおり、インストール直後から動作しているため影響があります。
対象となる製品のバージョン
3C CMM
対処方法
[対策]
UbuntuのOSをバージョンアップしてください。原因となるntpdもアップデートされます。
バージョンアップの詳細につきましては弊社営業にお問合せください。
バージョンアップの詳細につきましては弊社営業にお問合せください。
UNIVERGE IP8800シリーズ
影響の有無
影響あり
製品により、CVE-2014-9293、CVE-2014-9295 の影響を受ける可能性があります。
CVE-2014-9294、CVE-2014-9296、CVE-2014-9297、CVE-2014-9298 は全製品とも影響ありません。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。
製品により、CVE-2014-9293、CVE-2014-9295 の影響を受ける可能性があります。
CVE-2014-9294、CVE-2014-9296、CVE-2014-9297、CVE-2014-9298 は全製品とも影響ありません。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。
対象となる製品のバージョン
| No. | 装置シリーズ名 | CVE-2014-9293 | CVE-2014-9295 |
| 1 | IP8800/S8600 | 全バージョン | (影響なし) |
| 2 | IP8800/S6700 | 全バージョン | Ver 11.9.Gより前 |
| 3 | IP8800/S6600 | 全バージョン | Ver 11.9.Gより前 |
| 4 | IP8800/S6300 | 全バージョン | Ver 11.9.Gより前 |
| 5 | IP8800/S4600 | 全バージョン | (影響なし) |
| 6 | IP8800/S3800 | 全バージョン | Ver 11.12 より前 |
| 7 | IP8800/S3650 | 全バージョン | Ver 11.12 より前 |
| 8 | IP8800/S3640 | 全バージョン | Ver 11.12 より前 |
| 9 | IP8800/S3640 ER | 全バージョン | Ver 11.12 より前 |
| 10 | IP8800/S3630 | 全バージョン | Ver 11.11.B より前 |
| 11 | IP8800/S2500 | (影響なし) | (影響なし) |
| 12 | IP8800/S2400 | 全バージョン | (影響なし) |
| 13 | IP8800/S2200 | (影響なし) | (影響なし) |
| 14 | IP8800/SS1200 | (影響なし) | (影響なし) |
| 15 | IP8800/S400 | 全バージョン | Ver 10-10-/Rより前 |
| 16 | IP8800/S300 | 全バージョン | Ver 10-10-/Rより前 |
| 17 | IP8800/R8600 | 全バージョン | Ver 12.2より前 |
| 18 | IP8800/R400 | 全バージョン | Ver 10-10-/Rより前 |
対処方法
[対策]
本脆弱性に対応したソフトウェアにアップデートしてください。
ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。
ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。
[回避策]
- IP8800/S400、IP8800/S300、IP8800/R400
信頼できるネットワーク以外に接続されたインタフェースからの NTP パケット (UDP ポート 123) をフィルタで廃棄する運用を推奨いたします。
但し、NTP パケットを廃棄対象としたインタフェースに接続された機器との NTP の運用はできません。
また、コンフィグレーションにて以下2つの設定をおこなうことで、CVE-2014-9295 の脆弱性を回避できます。
本設定をおこなっても、NTP 機能は継続して運用可能です。
但し、NTP パケットを廃棄対象としたインタフェースに接続された機器との NTP の運用はできません。
また、コンフィグレーションにて以下2つの設定をおこなうことで、CVE-2014-9295 の脆弱性を回避できます。
|
ntp restrict 0.0.0.0 noquery ntp restrict 127.0.0.1 |
- IP8800/S8600、IP8800/S6700、IP8800/S6600、IP8800/S6300、IP8800/R8600
信頼できるネットワーク以外に接続されたインタフェースからの NTP パケット (UDP ポート123) をアクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTP パケットを廃棄対象としたインタフェースに接続された機器との NTP の運用はできません。
また、uRPF によるフィルタリングを実施することにより、攻撃の可能性を低減できます。
但し、NTP パケットを廃棄対象としたインタフェースに接続された機器との NTP の運用はできません。
また、uRPF によるフィルタリングを実施することにより、攻撃の可能性を低減できます。
- IP8800/S4600、IP8800/S3800、IP8800/S3600、IP8800/S2400
信頼できるネットワーク以外に接続されたインタフェースからの NTP パケット (UDP ポート123) をアクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTP パケットを廃棄対象としたインタフェースに接続された機器との NTP の運用はできません。
但し、NTP パケットを廃棄対象としたインタフェースに接続された機器との NTP の運用はできません。
UNIVERGE PFシリーズ
影響の有無
影響あり
製品により CVE-2014-9293、 CVE-2014-9295 の影響を受ける可能性があります。
製品により CVE-2014-9293、 CVE-2014-9295 の影響を受ける可能性があります。
対象となる製品のバージョン
CVE-2014-9293
- PF5240:
- V1.0.1.0
- V2.0.0.2、V2.0.0.3
- V3.0.0.0~V3.0.0.6
- V4.0.0.0~V4.0.1.3
- V5.0.0.1~V5.0.0.3
- V5.1.0.0、V5.1.1.0~V5.1.1.2
- V6.0.0.0、V6.0.1.0、V6.0.1.1
- PF5248:
- V4.0.0.0~V4.0.1.3
- V5.0.0.1~V5.0.0.3
- V5.1.0.0、V5.1.1.0~V5.1.1.2
- V6.0.0.0、V6.0.1.0、V6.0.1.1
- PF5220:
- V4.0.0.0
- V5.0.0.1
- V5.1.0.0、V5.1.1.0~V5.1.1.2
- V6.0.0.0、V6.0.1.0、V6.0.1.1
- PF5241:
- V6.0.0.0、V6.0.1.0、V6.0.1.1
CVE-2014-9295
- PF5240:
- V1.0.1.0
- V2.0.0.2、V2.0.0.3
- V3.0.0.0~V3.0.0.6
- V4.0.0.0~V4.0.1.3
- V5.0.0.1
- PF5248:
- V4.0.0.0~V4.0.1.3
- V5.0.0.1
- PF5220:
- V4.0.0.0
- V5.0.0.1
- PF5241:
- 該当なし
- PF5240:
- V1.0.1.0
- V2.0.0.2、V2.0.0.3
- V3.0.0.0~V3.0.0.6
- V4.0.0.0~V4.0.1.3
- V5.0.0.1~V5.0.0.3
- V5.1.0.0、V5.1.1.0~V5.1.1.2
- V6.0.0.0、V6.0.1.0、V6.0.1.1
- PF5248:
- V4.0.0.0~V4.0.1.3
- V5.0.0.1~V5.0.0.3
- V5.1.0.0、V5.1.1.0~V5.1.1.2
- V6.0.0.0、V6.0.1.0、V6.0.1.1
- PF5220:
- V4.0.0.0
- V5.0.0.1
- V5.1.0.0、V5.1.1.0~V5.1.1.2
- V6.0.0.0、V6.0.1.0、V6.0.1.1
- PF5241:
- V6.0.0.0、V6.0.1.0、V6.0.1.1
CVE-2014-9295
- PF5240:
- V1.0.1.0
- V2.0.0.2、V2.0.0.3
- V3.0.0.0~V3.0.0.6
- V4.0.0.0~V4.0.1.3
- V5.0.0.1
- PF5248:
- V4.0.0.0~V4.0.1.3
- V5.0.0.1
- PF5220:
- V4.0.0.0
- V5.0.0.1
- PF5241:
- 該当なし
対処方法
[対策]
[対策]
次のバージョンのソフトウェアで対応完了しています。最新のバージョンにバージョンアップしてください。
- V5.1.1.4、V6.0.2.0
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。
- V5.1.1.4、V6.0.2.0
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。
[対策]
NTP機能を使用しない。
参考情報
Japan Vulnerability Notes JVNVU#96605606:
Network Time Protocol daemon (ntpd) に複数の脆弱性
https://jvn.jp/vu/JVNVU96605606/
CERT/CC Vulnerability Note VU#852879:
NTP Project Network Time Protocol daemon (ntpd) contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/852879
「NTPの脆弱性(VU#852879)」に関するご報告(UNIVERGE IP8800シリーズ)
https://jpn.nec.com/ip88n/technical_info/20150206.html
CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296, CVE-2014-9297, CVE-2014-9298:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9293
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9294
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9295
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9296
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9297
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9298
Network Time Protocol daemon (ntpd) に複数の脆弱性
https://jvn.jp/vu/JVNVU96605606/
CERT/CC Vulnerability Note VU#852879:
NTP Project Network Time Protocol daemon (ntpd) contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/852879
「NTPの脆弱性(VU#852879)」に関するご報告(UNIVERGE IP8800シリーズ)
https://jpn.nec.com/ip88n/technical_info/20150206.html
CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296, CVE-2014-9297, CVE-2014-9298:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9293
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9294
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9295
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9296
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9297
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9298
更新情報
- 2020/12/18
- 2017/03/08
- 2016/10/31
- 2016/06/20
- 2016/01/29
- 2015/11/20
- 2015/10/21
- 2015/07/27