NTPで新たな脆弱性が発見される、不正な時刻源と同期される可能性

あるAnonymous Coward 曰く、　時刻を同期するために広く利用されているNetwork Time Protocol（NTP）に新たな脆弱性「CVE-2015-7871が発見された（ZDNet、ITmedia、NETWORKWORLD、Slashdot）。

　特定の暗号化されたNAKパケットを送りつけることで認証をバイパスできるというものだそうで（Red Hat Bugzilla）、これにより不正な時刻源に時刻を同期させることができてしまうという。なお、この問題を修正したntpの新版「ntp-4.2.8p4」がすでにリリースされている。

　時刻を不正に操作することで、失効したパスワードやアカウントで認証できるようにしたり、TLSクライアントが失効した証明書を受け入れるようにしたり（逆に、有効なはずのものを拒むようにしたり）、証明書ピニングやHTTPSなどの現行のセキュリティ構造を回避したりする悪用例が考えられるという。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
「時の翁」が握るNTPの運命 2015年03月15日
十分な額の資金があれば、すべてのバグは深刻ではない？ 2015年02月22日
ntpdを使った大規模なDDoS攻撃が確認される 2014年02月13日
日本アンテナ、NTPで電波時計の時刻を合わせられる「電波時計用NTPリピータ」を発売 2013年04月01日
NICTの公開NTPサービス、ほぼ連日障害発生 2011年12月23日