NTP4 távoli kódfuttatás sebezhetőség

Közzétéve Szerző HUP

Stephen Roettger, a Google Security Team tagja számos biztonsági (buffer overflow) hibát talált az NTP4-ben. Közülük az egyik egy buffer overflow sebezhetőség a ctl_putdata() függvényben. A távoli támadó egy speciálisan összeállított csomaggal túlcsordíthatja a stack buffer-t és potenciálisan lehetősége nyílhat távoli kódfuttatásra az ntpd jogosultságával. Ez sebezhetőség a 4.2.8-as verzió előtti összes NTP4 verziót érinti. A 4.2.8-as verzió 2014. december 18-án látott napvilágot.

Theo de Raadt tegnap megjegyezte, hogy az OpenNTPd nem érintett.