Protocole NTP : plusieurs failles de sécurité découvertes par Google
Des correctifs disponibles pour Linux et OS X
Le 2014-12-25 13:28:14, par Amine Horseman, Expert éminent sénior
Deux chercheurs de Google Security Team ont détecté quelques failles de sécurité dans le code source du daemon NTP (Network Time Protocol) et qui dateraient depuis de nombreuses années déjà.
Pour rappel, NTP (Protocole d'Heure Réseau) est l’un des plus anciens protocoles de l’internet. Il permet de synchroniser, via un réseau informatique, l'horloge locale d'ordinateurs avec celle d'un serveur de référence. Cette synchronisation est nécessaire pour les transactions journalisées, les échanges commerciaux, la diffusion de contenu multimédia en temps réel, les vidéoconférences, mais aussi plein d’autres services en ligne.
Les failles découvertes par l’équipe de Google touchent le code de base dans les distributions Linux et Unix, notamment OS X d’Apple. Il s’agirait d’un oubli de la clause « return » dans le codepath, ce qui veut dire que l’exécution n’est pas arrêtée lorsqu’une certaine « erreur spécifique mais rare se produit ». Cela ne représente pas forcément une faille exploitable par des hackers. Par contre, ils ont aussi découvert trois erreurs de dépassement de tampon (buffer overflow) qui pourraient bel et bien être utilisées dans certains cas pour faire exécuter du code malicieux avec les privilèges systèmes.
Heureusement, les failles ont déjà été corrigées et un correctif a été publié. Il semblerait à l’heure de l’écriture de cet article qu’une autre mise à jour de sécurité ait été publiée le 23 décembre sous la référence 4.2.8p1. Toutefois elle reste en ce moment encore en version bêta.
De son côté, Apple a publié un patch d’urgence pour corriger cette faille dans son système d’exploitation OS X. La mise à jour sera poussée automatiquement aux utilisateurs des Mac.
L’ICS-CERT rappelle les mesures nécessaires pour se protéger contre les cyberattaques :
Il ne faudra pas oublier non plus que ces méthodes et protocoles peuvent eux même être vulnérables, l’exemple le plus connu étant la découverte en mars dernier de la faille HeartBleed sur OpenSSL qui aurait touché plus d’un demi-million de serveurs à travers le monde.
Source : ntp.org
Et vous ?
Pour rappel, NTP (Protocole d'Heure Réseau) est l’un des plus anciens protocoles de l’internet. Il permet de synchroniser, via un réseau informatique, l'horloge locale d'ordinateurs avec celle d'un serveur de référence. Cette synchronisation est nécessaire pour les transactions journalisées, les échanges commerciaux, la diffusion de contenu multimédia en temps réel, les vidéoconférences, mais aussi plein d’autres services en ligne.
Les failles découvertes par l’équipe de Google touchent le code de base dans les distributions Linux et Unix, notamment OS X d’Apple. Il s’agirait d’un oubli de la clause « return » dans le codepath, ce qui veut dire que l’exécution n’est pas arrêtée lorsqu’une certaine « erreur spécifique mais rare se produit ». Cela ne représente pas forcément une faille exploitable par des hackers. Par contre, ils ont aussi découvert trois erreurs de dépassement de tampon (buffer overflow) qui pourraient bel et bien être utilisées dans certains cas pour faire exécuter du code malicieux avec les privilèges systèmes.
Heureusement, les failles ont déjà été corrigées et un correctif a été publié. Il semblerait à l’heure de l’écriture de cet article qu’une autre mise à jour de sécurité ait été publiée le 23 décembre sous la référence 4.2.8p1. Toutefois elle reste en ce moment encore en version bêta.
De son côté, Apple a publié un patch d’urgence pour corriger cette faille dans son système d’exploitation OS X. La mise à jour sera poussée automatiquement aux utilisateurs des Mac.
L’ICS-CERT rappelle les mesures nécessaires pour se protéger contre les cyberattaques :
- toujours utiliser un pare-feu lorsqu'on se connecte sur internet ;
- mettre hors réseau tous les appareils et systèmes qui n’ont pas besoin d’une connexion internet pour fonctionner ;
- mettre fréquemment à jour son système, son navigateur et les outils utilisés ;
- toujours utiliser - dans la mesure du possible - des méthodes/protocoles de connexion sécurisées (ex : HTTPS, SSL, VPN).
Il ne faudra pas oublier non plus que ces méthodes et protocoles peuvent eux même être vulnérables, l’exemple le plus connu étant la découverte en mars dernier de la faille HeartBleed sur OpenSSL qui aurait touché plus d’un demi-million de serveurs à travers le monde.
Source : ntp.org
Et vous ?
-
OokazeFutur Membre du ClubLa faille est dans le code du daemon ntpd, pas dans le code de NTP ce qui ne veut rien dire.
Le code de base des distributions ça ne veut rien dire non plus.
Certaines utilisent chrony comme daemon NTP ou OpenNTP, et donc ne sont pas touchées par ces bugs.le 26/12/2014 à 14:34 -
david96Membre du ClubMerci pour l'info et à Ookaze pour le complément d'infole 27/12/2014 à 0:43
-
ticNFAMembre confirméA noter, qu'il s'agit de la première fois (d'après MacG) qu'Apple pousse une MAJ. De plus OSX.7 n'est pas couvert pas cette MAJ, alors que son support n'est pas officiellement abandonné. Je ne sais pas si c'est parce qu'il n'est pas concerné ou bien qu'Apple aurait changé sa politique de MAJ des anciennes versions avec l'arrivée de Mavericks comme le montrent cet article.le 29/12/2014 à 10:11
-
ludosoftMembre habituéHum... Ce n'est pas le protocole qui est en cause mais l'implémentation.Protocole NTP : plusieurs failles de sécurité découvertes par Googlele 29/12/2014 à 14:16