企業情報

ニュースリリース

2014/12/25

プライベートCA Gléasにおける ntpdの脆弱性(CVE-2014-9293,CVE- 2014-9294,CVE-2014-9295,CVE-2014-9296)の影響について

ntpd に脆弱性が存在することが報告されましたので、弊社製品であるプライ ベートCA Gléas への影響をご説明します。

概要

ntpdは、時刻の同期に使用されているソフトウェアであり、 プライベートCA Gléasはこれを用いて外部ntpサーバと時刻同期を行っています。 今回発見された脆弱性を悪用された場合、

  1. 設定ファイルがデフォルトの場合、弱い認証キーを作成してしまう。
  2. NTP-Keygenコマンドは弱いシードを使ってランダムな認証キーを作成してしまう。
  3. バッファオーバーフローの脆弱性。
    細工されたパケットをntpdに送信することで、ntpdの実行権限で任意のコードが実行可能になる可能性がある。
という脆弱性があります。

また、ntpdのエラー処理において、特定のエラー発生時に処理が停止しない問題があります。

Gleas への影響について

認証キー強度の脆弱性については、Gleasに影響はございません。
ntpdの実行権限でGleasの機能を呼び出す等の行為は出来ませんが、任意のコードが実行可能となる可能性は リソースを消費することが出来る可能性を残してしまうため、排除しておくべきと考えます。

対策

ntpdのバージョンアップにより対処致します。

影響を受けるバージョン

プライベートCA Gléas 1.12.96 までの全てのバージョン。 対処方法については、弊社もしくは代理店までご連絡ください。