L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

avis de faille informatique CVE-2013-5211

ntp.org : déni de service distribué via monlist

Synthèse de la vulnérabilité

Un attaquant peut employer monlist de ntp.org, afin de mener un déni de service distribué.
Gravité de cette faille : 2/4.
Date création : 31/12/2013.
Références de ce bulletin : 1532, BID-64692, c04084148, CERTA-2014-AVI-034, CERTFR-2014-AVI-069, CERTFR-2014-AVI-112, CERTFR-2014-AVI-117, CERTFR-2014-AVI-244, CERTFR-2014-AVI-526, CSCtd75033, CSCum44673, CSCum52148, CSCum76937, CSCun84909, CSCur38341, CVE-2013-5211, ESX400-201404001, ESX400-201404402-SG, ESX410-201404001, ESX410-201404402-SG, ESXi400-201404001, ESXi400-201404401-SG, ESXi410-201404001, ESXi410-201404401-SG, ESXi510-201404001, ESXi510-201404101-SG, ESXi510-201404102-SG, ESXi550-201403101-SG, FreeBSD-SA-14:02.ntpd, HPSBUX02960, JSA10613, MBGSA-1401, NetBSD-SA2014-002, openSUSE-SU-2014:0949-1, openSUSE-SU-2014:1149-1, sk98758, SSA:2014-044-02, SSRT101419, VIGILANCE-VUL-14004, VMSA-2014-0002, VMSA-2014-0002.1, VMSA-2014-0002.2, VMSA-2014-0002.4, VMSA-2015-0001.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

Le service ntp.org implémente la commande "monlist", qui permet d'obtenir la liste de 600 derniers clients qui se sont connectés au serveur.

Cependant, la taille de la réponse est beaucoup plus grande que la taille de la requête. De plus, les serveurs NTP publics ne demandent aucune authentification, et les paquets UDP peuvent être usurpés.

Un attaquant peut donc employer monlist de ntp.org, afin de mener un déni de service distribué.
Bulletin Vigil@nce complet... (Essai gratuit)

Cette annonce de faille informatique concerne les logiciels ou systèmes comme GAiA, CheckPoint IP Appliance, IPSO, Provider-1, CheckPoint Security Appliance, CheckPoint Security Gateway, Cisco ASR, Cisco Catalyst, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS, Cisco Router, Cisco CUCM, Cisco Unified CCX, Cisco MeetingPlace, FreeBSD, HP-UX, AIX, Juniper J-Series, Junos OS, Meinberg NTP Server, NetBSD, NTP.org, openSUSE, Solaris, Trusted Solaris, pfSense, Puppet, Slackware, ESX, ESXi, vCenter Server, VMware vSphere, VMware vSphere Hypervisor.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de vulnérabilité informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter ce bulletin de faille informatique.

Solutions pour cette menace

ntp.org : contre-mesure pour monlist.
Une contre-mesure consiste à configurer :
  restrict default nomodify nopeer noquery notrap
  restrict -6 default nomodify nopeer noquery notrap
  restrict 127.0.0.1
  restrict -6 ::1
  restrict 127.127.1.0

Meinberg NTP Server : contre-mesure pour monlist.
Une contre-mesure est indiquée dans la source d'information.

pfSense : version 2.1.1.
La version 2.1.1 est corrigée :
  http://www.pfsense.org/

AIX : solution pour NTP.
La solution est indiquée dans les sources d'information.

Check Point Security Gateway : contre-mesure pour NTP.
Si le client NTP est activé, le serveur NTP est automatiquement démarré, donc une contre-mesure consiste à filtrer le trafic NTP.

Cisco IOS, XE, XR : solution CSCtd75033.
La solution CSCtd75033 est disponible :
  https://tools.cisco.com/bugsearch/bug/CSCtd75033

Cisco NX-OS : solution CSCum52148.
La solution CSCum52148 est disponible :
  https://tools.cisco.com/bugsearch/bug/CSCum52148

Cisco Unified Communications Manager : solution CSCum76937.
La solution CSCum76937 est disponible :
  https://tools.cisco.com/bugsearch/bug/CSCum76937

Cisco Unified Contact Center Express : solution CSCun84909.
La solution CSCun84909 est disponible :
  https://tools.cisco.com/bugsearch/bug/CSCun84909

Cisco Unified MeetingPlace : solution CSCur38341.
La solution CSCur38341 est disponible :
  https://tools.cisco.com/bugsearch/bug/CSCur38341

FreeBSD : patch pour ntpd.
Un patch est disponible :
   http://security.FreeBSD.org/patches/SA-14:02/ntpd.patch

HP-UX : contre-mesure pour NTP.
Une contre-mesure est indiquée dans la source d'information.

Junos : versions corrigées pour NTP.
Les versions corrigées sont indiquées dans les sources d'information.

NetBSD : solution pour ntpd.
La solution est indiquée dans les sources d'information.

openSUSE : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : ntp 4.2.6p3-6.24.1
  openSUSE 12.3 : ntp 4.2.6p5-9.6.1
  openSUSE 13.1 : ntp 4.2.6p5-15.5.1

puppetlabs-ntp : version 4.1.1.
La version 4.1.1 est corrigée :
  https://forge.puppetlabs.com/puppetlabs/ntp

Slackware : nouveaux paquetages ntp.
De nouveaux paquetages sont disponibles :
ftp://ftp.slackware.com/pub/slackware/slackware-13.0/patches/packages/ntp-4.2.6p5-i486-1_slack13.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.0/patches/packages/ntp-4.2.6p5-x86_64-1_slack13.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware-13.1/patches/packages/ntp-4.2.6p5-i486-1_slack13.1.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.1/patches/packages/ntp-4.2.6p5-x86_64-1_slack13.1.txz
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/patches/packages/ntp-4.2.6p5-i486-1_slack13.37.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.37/patches/packages/ntp-4.2.6p5-x86_64-1_slack13.37.txz
ftp://ftp.slackware.com/pub/slackware/slackware-14.0/patches/packages/ntp-4.2.6p5-i486-3_slack14.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-14.0/patches/packages/ntp-4.2.6p5-x86_64-3_slack14.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware-14.1/patches/packages/ntp-4.2.6p5-i486-5_slack14.1.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-14.1/patches/packages/ntp-4.2.6p5-x86_64-5_slack14.1.txz

Solaris 11 : version 11.1.13.6.0.
La version 11.1.13.6.0 est corrigée :
  https://support.oracle.com/rs?type=doc&id=1601089.1

Solaris : patch pour NTP.
Un patch est disponible :
  SPARC: 143725-02
  X86: 143726-02
Une contre-mesure consiste à utiliser noquery.

VMware ESX 4.0 : patch ESX400-201404001.
Un patch est disponible :
  ESX400-201404001.zip
  http://kb.vmware.com/kb/2068798

VMware ESX 4.1 : patch ESX410-201404001.
Un patch est disponible :
  ESX410-201404001.zip
  http://kb.vmware.com/kb/2072476

VMware ESXi 4.0 : patch ESXi400-201404001.
Un patch est disponible :
  ESXi400-201404001.zip
  http://kb.vmware.com/kb/2068805

VMware ESXi 4.1 : patch ESXi410-201404001.
Un patch est disponible :
  ESXi410-201404001.zip
  http://kb.vmware.com/kb/2072477

VMware ESXi 5.1 : patch ESXi510-201404001.
Un patch est disponible :
  ESXi510-201404001.zip
  http://kb.vmware.com/kb/2070666

VMware ESXi : version 5.5 Update 1.
La version 5.5 Update 1 est corrigée :
  http://kb.vmware.com/kb/2065826

VMware vCenter Server Appliance : version 5.1 Update 3.
La version 5.1 Update 3 est corrigée.

VMware vCenter Server Appliance : version 5.5 Update 1.
La version 5.5 Update 1 est corrigée.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit un correctif de vulnérabilités logicielles. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.