JPCERT-WR-2014-0201
2014-01-16
2014-01-05
2014-01-11
NTP サーバ実装の管理機能に DDoS 攻撃の踏み台として使用される問題
NTP サーバを実装するソフトウエアの一部には、リクエストに対して非常に大
きなレスポンスを返す可能性のある管理機能が存在します。結果として、遠隔
の第三者が、他のサイトに対するサービス運用妨害 (DoS) 攻撃の踏み台として
使用する可能性があります。
問題が確認されている製品およびバージョンは以下の通りです。
- NTP プロジェクトの ntpd 4.2.7p26 より前のバージョン
- NTP プロジェクトの ntpd 4.2.6p5 およびそれ以前
この問題は、開発者が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、開発者が提供する情報を参照して下さ
い。
Japan Vulnerability Notes JVNVU#96176042
NTP が DDoS 攻撃の踏み台として使用される問題
https://jvn.jp/cert/JVNVU96176042/index.html
NTP project Security Notice
DRDoS / Amplification Attack using ntpdc monlist command
http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
libpng に脆弱性
libpng には、脆弱性があります。結果として、遠隔の第三者が、任意のコード
を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- libpng バージョン 1.6.1 から 1.6.7 まで
この問題は、PNG Development Group が提供する修正済みのバージョンに
libpng を更新することで解決します。詳細については、PNG Development
Group が提供する情報を参照して下さい。
Japan Vulnerability Notes JVNVU#98780668
libpng に NULL ポインタ参照の脆弱性
https://jvn.jp/cert/JVNVU98780668/index.html
Synology DiskStation Manager にアクセス制御不備の脆弱性
Synology DiskStation Manager には、アクセス制御不備の脆弱性があります。
結果として、遠隔の第三者が、任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Synology DiskStation Manager 4.3-3776-3 およびそれ以前
この問題は、Synology が提供する修正済みのバージョンに DiskStation
Manager を更新することで解決します。詳細については、Synology が提供す
る情報を参照して下さい。
Synology
ダウンロードセンター
http://www.synology.com/ja-jp/support/download
Japan Vulnerability Notes JVNVU#95919136
Synology DiskStation Manager にアクセス制御不備の脆弱性
https://jvn.jp/cert/JVNVU95919136/index.html
QNAP QTS にディレクトリトラバーサルの脆弱性
QNAP QTS には、ディレクトリトラバーサルの脆弱性があります。結果として、
遠隔の第三者が、サーバ上の任意のファイルにアクセスする可能性があります。
対象となるバージョンは以下の通りです。
- QNAP QTS 4.0.3 およびそれ以前
この問題は、QNAP Systems が提供する修正済みのバージョンに QNAP QTS を
更新することで解決します。詳細については、QNAP Systems が提供する情報
を参照して下さい。
QNAP Systems, Inc.
ダウンロードセンター
http://www.qnap.com/v3/jp/product_x_down/
Japan Vulnerability Notes JVNVU#95681821
QNAP QTS にディレクトリトラバーサルの脆弱性
https://jvn.jp/cert/JVNVU95681821/index.html
Atmail Webmail Server に複数の脆弱性
Atmail Webmail Server には、複数の脆弱性があります。結果として、遠隔の
第三者が、ユーザの権限で操作を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- Atmail Webmail Server 7.2 より前のバージョン
この問題は、Atmail が提供する修正済みのバージョンに Atmail Webmail
Server を更新することで解決します。詳細については、Atmail が提供する情
報を参照して下さい。
Japan Vulnerability Notes JVNVU#90707877
Atmail Webmail Server に複数の脆弱性
https://jvn.jp/cert/JVNVU90707877/index.html
Atmail
ChangeLog
http://atmail.com/changelog/
NTP サーバのアクセス制限機能を活用しましょう
今週のセキュリティ関連情報としてとりあげていますが、NTP サーバの管理機
能がサービス運用妨害 (DoS) 攻撃に使われる可能性のあることが指摘されてい
ます。また、実際に NTP サーバを使った DDoS 攻撃が行われていることが報告
されています。自社のネットワーク環境で NTP サーバを立ち上げている場合、
外部の第三者による DDoS 攻撃に使われることのないよう、NTP サーバへのア
クセスを必要最小限の範囲に設定することをおすすめします。
NTP プロジェクトが提供する ntpd には、アクセスを制限する機能が実装され
ています。ネットワーク経由で ntpd の管理機能を使用する必要がある場合、
ネットワーク機器によるアクセス制限とあわせて、ntpd のアクセス制限機能も
活用することをおすすめします。
NTP project
Access Control Commands and Options
http://www.eecis.udel.edu/~mills/ntp/html/accopt.html
Team Cymru
Secure NTP Template
http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html