NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.Detalle de la actualización
- Los problemas corregidos incluyen una vulnerabilidad de gravedad alta que solo afecta a Windows, dos de importancia media, dos media-baja y cinco de riesgo bajo. También se corrigen otros 28 fallos no relacionados con la seguridad y otras mejoras.
- El problema considerado más grave consiste en una denegación de servicio cuando ntpd en Windows recibe un paquete UDP de gran tamaño (CVE-2016-9312).
- El resto de problemas residen en una denegación de servicio por desreferencia de puntero nulo en el servicio trap (CVE-2016-9311). Un paquete específicamente construido de modo de control 6 (mode 6) puede provocar una fuga de información y amplificación DDoS (CVE-2016-9310). Otros problemas podrían permitir a un atacante con acceso al dominio broadcast NTP podría impedir el tráfico de los servidores broadcast legítimos (CVE-2016-7427 y CVE-2016-7428).
- Debido a un error de regresión existen problemas de validación de marcas de tiempo (timestamps) Zero Origin (CVE-2016-7431). Desreferencia de puntero nulo en _IO_str_init_static_internal() (CVE-2016-7434). Un ataque por la selección de interfaz en hosts con múltiples interfaces, el atacante podrá obligar al sistema a seleccionar una interfaz errónea y evitar el envío de nuevas peticiones (CVE-2016-7429). Denegación de servicio por la limitación de restricciones (CVE-2016-7426). Por último, la corrección de un anterior fallo provoca un fallo en los cálculos iniciales de la sincronización (CVE-2016-7433).
Recomendación
- Se recomienda actualizar a la versión 4.2.8p9 disponible desde http://www.ntp.org/downloads.html
- November 2016 ntp-4.2.8p9 NTP Security Vulnerability Announcement (HIGH for Windows, MEDUIM otherwise) http://support.ntp.org/bin/view/Main/SecurityNotice#November_2016_ntp_4_2_8p9_NTP_Se
