Verschillende Linux-distributies hebben in de afgelopen dagen updates uitgebracht voor lekken in de network time protocol daemon. Onder andere Red Hat, Ubuntu en Debian hebben de lekken gedicht.
Afgelopen weekend werden de details van vier kwetsbaarheden in network time protocol daemon bekendgemaakt door US-Cert. De lekken waren aangetroffen door Googles securityteam en betroffen onder andere de random number generator. Vooral de mogelijkheid buffer overflows te veroorzaken maakte dat er sprake was van een ernstige kwetsbaarheid: hiermee kunnen kwaadwillenden code uitvoeren op getroffen systemen.
Alle voorgaande versies van ntp4 zijn kwetsbaar en op 19 december kwam versie 4.2.8 uit die de problemen aanpakte. Apple bracht dinsdag een automatische update met die versie uit om het lek in OS X te dichten maar voor die tijd publiceerden verschillende Linux-distro’s al hun patches.
Zo bracht Canonical maandag Security Notice USN-2449-1 uit die Ubuntu 14.10, Ubuntu 14.04 LTS, Ubuntu 12.04 LTS en Ubuntu 10.04 LTS bijwerkt. Debian publiceerde afgelopen weekend DSA-3108 om de problemen aan te pakken en ook Red Hat was er snel bij met zijn RHSA-2014:2025-1-security update voor ntp. De volledige lijst van mogelijk getroffen software is te vinden bij de Vulnerability Notes Database van Cert.
OpenBSD is niet kwetsbaar, zo tekent Theo de Raadt, oprichter van het OS, aan, omdat de software gebruikmaakt van openntpd. “Dat is 10 jaar geleden op mijn verzoek geschreven omdat de broncode van ntpd ons de stuipen op het lijf joeg”, aldus De Raadt. Er zou veel overbodige code in gestaan hebben en het ontwikkelteam zou weinig interesse in verbetering getoond hebben. “Wanneer worden softwareleveranciers nu eens wakker?”, vraagt hij zich af.