服务公告

全部公告 > 安全公告 > NTP服务多个漏洞安全预警

NTP服务多个漏洞安全预警

2016-05-04

一、概述

近日,NTP官方发布多个安全漏洞公告,可致系统时间无法正常同步。

这些漏洞包括两个远程匿名拒绝服务漏洞(CVE-2016-2519,CVE-2016-2516),一个逻辑漏洞(CVE-2016-2517)和一个信息泄露漏洞(CVE-2016-2518)。利用这些漏洞,攻击者可以向NTPD发送伪造的经过加密的、针对远程管理模块的数据包使主服务崩溃,造成拒绝服务。

官方链接:http://support.ntp.org/bin/view/Main/SecurityNotice#Recent_Vulnerabilities

二、受影响版本

受影响的版本包括除4.2.8p7外所有NTP 4标准版本和除4.3.92外的所有 NTP-dev.4.3.0 以上的开发版。

三、建议

建议使用NTPD进行远程管理的用户通过以下策略进行安全防护:

1、通过设置防火墙或ACL禁止外部网络远程访问提供ntpd服务器的端口;

企业云用户可通过安全组配置,如下添加只允许本地局域网访问123端口:

本地局域网网段通过虚拟私有云-子网查询,如图:

2、禁止ntp的远程管理访问,或只允许服务器本地访问;

修改ntp.conf配置文件如下:

a.首先默认拒绝client所有的操作,代码:

restrict default kod nomodify notrap nopeer noquery #或restrict default ignore

restrict -6 default kod nomodify notrap nopeer noquery #拒绝 IPv6 的用戶

b.然后允许本机地址一切的操作,代码:

restrict 127.0.0.1

restrict -6 ::1 #允许本地 IPv6

c.然后允许局域网内某个IP段能否进行时间同步操作,代码:

restrict 192.168.200.0 mask 255.255.255.0 nomodify

d.重启ntp服务.

3、升级ntp到最新版本(当前最新是NTP-4.2.8p7 )。

官方下载地址:http://www.ntp.org/downloads.html

温馨提示:升级前请进行重要数据备份和必要安全测试。