NTP 다중 취약점 보안 업데이트 권고

Security Notice

NTP 다중 취약점 보안 업데이트 권고

□ 개요

  • NTP(Network Time Protocol)에서 발생한 원격코드실행 등 총 4개의 취약점을 보완한 보안 업데이트를 발표[1]
  • 공격자는 취약점에 영향 받는 시스템에 악의적인 명령어 실행 등의 피해를 발생시킬 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고
 □ 설명
  • ntp.conf파일에 인증키를 정의하지 않았을 때 취약한 기본 키를 생성하는 취약점(CVE-2014-9293)
  • 암호화에 취약한 난수를 사용하는 취약점(CVE-2014-9294) 
  • 3개 함수(crypto_recv, ctl_putdata, configure)에서 발생하는 스택오버플로우 취약점(CVE-2014-9295)
  • 특정 에러 발생 시 프로세스가 중지하지 않는 취약점(CVE-2014-9296)
 
□ 영향 받는 소프트웨어
  • NTP 4.2.8 이전 버전
 
□ 해결 방안
 
□ 용어 정리
  • NTP(Network Time Protocol) : 컴퓨터 시스템의 시간 동기화를 위한 프로토콜
 
□ 기타 문의사항
  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
0 변경된 사항