Alerta de Seguranca 2001-04-05 NIC BR Security Office Vulnerabilidade remota no ntpd (<= 4.0.99k) =========================================== 1. Introducao O GTER e GTS tem recomendado fortemente a adocao do NTP (Network Time Protocol), fato que implicou num aumento significativo no numero de servidores rodando este servico. O daemon ntpd e' utilizado em muitas maquinas Unix, sendo grande o impacto da vulnerabilidade descrita a seguir. 2. Descricao Foi descoberto um buffer overflow no Network Time Protocol Daemon (ntpd) presente em alguns sistemas. A vulnerabilidade permite a um atacante remoto executar comandos arbitrarios com os mesmos privilegios do daemon ntpd, geralmente root. Um programa que explora de forma semi-automatica a vulnerabilidade foi divulgado na lista bugtraq e ha' razoes para acreditar que outras versoes ja' devem estar disponiveis no underground. 3. Sistemas Afetados Sistemas rodando ntpd <= 4.0.99k em FreeBSD 4.0 a 4.3 e Linux Red Hat 7.0 sao vulneraveis. Outros sistemas operacionais usando versoes antigas de ntpd podem tambem ser vulneraveis. Procure maiores detalhes nos sites relativos a seguranca do seu sistema operacional. 4. Impacto Um atacante remoto pode executar comandos arbitrarios com os mesmos privilegios do daemon ntpd, geralmente root. 5. Solucao Atualize imediatamente sua versao de ntpd. Como medida paleativa, ate' a atualizacao do seu ntpd, recomendamos filtrar o trafego 123/UDP. Usuarios de snort podem logar trafigo malicioso para as suas maquinas com: alert udp any any -> any 123 (msg: "UDP/123 /bin/sh in packet"; content:"/bin/sh";) alert udp any any -> any 123 (msg: "UDP/123 /tmp/sh in packet"; content:"/tmp/sh";) 6. Informacoes adicionais * O programa divulgado na bugtraq: http://packetderm.cotse.com/mailing-lists/bugtraq/2001/Apr/0048.html * Latest information on Network Time Protocol (NTP) http://www.eecis.udel.edu/~ntp/ 7. Agradecimentos Pedro A M Vazquez Nelson Murilo Ricardo Bueno da Silva Frederico A C Neves Hugo Koji Kobayashi