现在什么时间了?漏洞时间!赶紧修复漏洞!
思科向Linux基金会的核心基础实施计划提交了数个网络时间协议守护进程漏洞。它们能够允许攻击者伪造一个UDP数据包,导致拒绝服务;或者阻止设置正确的时间。思科的Talos安全情报和研究团队在其网站中给出了详细解释。
列表中的第一个漏洞便是 CVE-2016-1550——NTP验证潜在时间漏洞:成功对并列系统( co-ordinating systems)中共享的128字节密钥进行攻击可以允许攻击者欺骗NTP数据。
CVE-2016-1551是一个NTP重新计时模仿漏洞,相对来说没那么严重。如果数据包是从127.127.0.0/16 地址发出,并且被认为可信,那么该漏洞的存在意味着攻击者可以利用数据欺骗更改攻击目标的时间。
127.127.0.0/16 地址应该由操作系统或者路由器过滤出来,但是遗憾的是却没有。
CVE-2016-1549是NTP短暂关联女巫漏洞:对系统中共享相同密钥的同类关联设备数量没有设限制条件,也就是说,如果一个攻击者发现了这个密钥,他们就可以设置恶意的同类关联设备。当共用相同错误时间的同类关联恶意设备量足够大时,正确时间就会被掩盖(当谎话被越来越多人传开,谎话也就变成了真话)。
CVE-2016-1547是一个拒绝服务漏洞,攻击者可以在加密NAK数据中欺骗机器的地址,破坏系统中同类设备之间的关联。
攻击者可以利用该漏洞破坏客户端和服务器端的关联,模仿服务器的行为在客户端上设置一个错误的时间。
* 参考来源: theregister ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)