Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 2/1/2015
Udviklerne af synkroniseringsprogrammet NTPD har lukket et alvorligt sikkerhedshul. Apple har udsendt en rettelse, der lukker hullet uden at kræve, at brugeren gør noget.NTPD er et program til Unix og lignende styresystemer. Det sørger for at synkronisere uret i computeren med et eksternt ur via NTP (Network Time Protocol).
Sikkerhedsforskere har fundet flere sårbarheder i NTPD, der både kan udnyttes, når programmet kører som server og som klient. Der er dels flere bufferoverløb, dels et problem med dannelsen af tilfældige tal.
Fejlene er rettet i NTPD 4.2.8. Alle tidligere versioner er sårbare.
Apples Mac OS X er blandt de sårbare styresystemer. Apple udsendte i julen en opdatering, der blev installeret automatisk. Normalt skal brugeren aktivt give tilladelse til, at en sikkerhedsopdatering installeres, men Apple fandt denne sårbarhed så alvorlig, at den blev sat til at installere af sig selv.
Sikkerhedsblogger Graham Cluley oplevede, at hans iMac installerede opdateringen automatisk. Men det gjorde hans Macbook ikke. Han har ikke opklaret årsagen.
Anbefaling
Opdater til NTPD 4.2.8 på Unix, Linux, Mac OS X og andre berørte styresystemer. Tjek, at den automatiske opdatering af Mac OS X har fungeret.
Links
- Network Time Protocol (NTP) Project NTP daemon (ntpd) contains multiple vulnerabilities
- Security Notice, NTP Project
- Apple rolls out OS X patch to protect against critical NTP security flaw, blogindlæg af Graham Cluley
- Serious NTP security holes have appeared and are being exploited, artikel fra ZDNet
- About OS X NTP Security Update