ntpdは、時刻の同期に使用されているソフトウェアです。Gléasはntpdを用いて外部ntpサーバと時刻同期を行っています。

今回発見された脆弱性(CVE-2014-9293 CVE- 2014-9294 CVE-2014-9295 CVE-2014-9296)を悪用された場合、下記の脆弱性があります。

  • 設定ファイルがデフォルトの場合、弱い認証キーを作成してしまう
  • NTP-Keygenコマンドは弱いシードを使ってランダムな認証キーを作成してしまう
  • バッファオーバーフローの脆弱性。細工されたパケットをntpdに送信することで、
    ntpdの実行権限で任意のコードが実行可能になる可能性がある

また、ntpdのエラー処理において、特定のエラー発生時に処理が停止しない問題があります。

認証キー強度の脆弱性については、Gleasに影響はございません。
ntpdの実行権限でGleasの機能を呼び出す等の行為は出来ませんが、
任意のコードが実行可能となる可能性は、
リソースを消費することが出来る可能性を残してしまうため、排除しておくべきと考えます。

対策

ntpdのバージョンアップにより対処致します。
対象はGléas 1.12.96までの全てのバージョンです。対処方法については、弊社もしくは代理店までご連絡ください。