ทีมความปลอดภัยของกูเกิลแจ้งบั๊กใน ntpd รุ่นก่อนหน้า 4.2.8 (ที่เพิ่งออกมาเมื่อวันที่ 19 ธันวาคมที่ผ่านมา) ทุกรุ่น มีบั๊กความปลอดภัยสำคัญคือแฮกเกอร์สามารถยิงโค้ดเข้า มารันในเครื่องที่รัน ntpd อยู่ได้
ICS-CERT ไม่ได้ให้รายละเอียดของบั๊กทั้งหมด โดยการแจ้งเตือนแจ้งเป็นกลุ่มของบั๊ก ได้แก่

  • CVE-2014-9293 ปัญหาของการสร้างเลขสุ่มในกรณีที่ไม่มีไฟล์กุญแจ
  • CVE-2014-9294 ปัญหาการสร้างเลขสุ่มเนื่องจากการใช้ค่าเริ่มต้นที่อ ่อนแอ
  • CVE-2014-9295 การรันโค้ดจากเครื่องรีโมตที่ยิงโค้ดเข้ามา ผ่านบั๊ก stack overflow
  • CVE-2014-9296 ความผิดพลาดของโค้ดบางส่วนที่ไม่คืนค่าหลังทำงานเสร็ จ

ทาง ICS-CERT ระบุว่าการโจมตีบั๊กนี้ใช้ความสามารถระดับต่ำ โดยคะแนนความร้ายแรงตามมาตรฐาน CVSS อยู่ที่ 7.3 ดังนั้นควรรีบอัพเดตหรืออย่างน้อยๆ ก็ปิดไม่ให้โลกภายนอกเข้าถึง ntpd กันได้
ทาง Theo de Raadt ผู้ดูแลโครงการ OpenBSD ออกมาระบุว่าซอฟต์แวร์ OpenNTPD ไม่มีปัญหานี้เพราะเขียนซฮฟต์แวร์ขึ้นใหม่ทั้งหมด มีการป้องกันที่ดี โค้ดเขียนด้วยแนวทางที่ดีที่สุดเท่าที่รู้กันในยุคให ม่ โดยตัวโค้ดมีความยาวไม่ถึง 5,000 บรรทัดเทียบกับ ntpd ที่ยาวประมาณ 100,000 บรรทัด
ที่มา - ICS-CERT
Security, Open Source




อ่านต่อ...