1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. NTPDに悪用可能な脆弱性(CVE-2014-9295)が確認される

NTPDに悪用可能な脆弱性(CVE-2014-9295)が確認される

NTPDに悪用可能な脆弱性(CVE-2014-9295)が確認される12月18日、NTPD(Network Time Protocol daemon)に悪用可能な脆弱性(CVE-2014-9295)を含む複数の脆弱性が確認された。開発元(NTP Project)では最新版へのアップデートを呼びかけている。

NTPDは、様々なサービスやアプリケーションで時刻を同期するために使用される通信プロトコル(NTP: Network Time Protocol)を扱うオープンソースソフトウェア。複数のNTPサーバから時刻情報を受け取って調整する役割を果たす。

CVE-2014-9295は、細工されたパケットの処理に起因するバッファオーバーフローの脆弱性で、攻撃者が特別に細工したパケットを送信することで、NTPDの実行権限で任意のコードが実行される可能性がある。

一連の脆弱性が存在するのは、バージョン4.2.7以前で、NTP Projectは最新版のバージョン4.2.8を公開している。すでに脆弱性を悪用した攻撃が出回っているとの情報もあるため、ユーザーは早急なアップデートが推奨される。

Network Time Protocol daemon (ntpd) に複数の脆弱性(JVNVU#96605606)
・(英文)US-CERTによるセキュリティ情報(VU#852879)
・(英文)NTP Projectによるセキュリティ情報

関連キーワード:

NTPD

オープンソース

バッファオーバーフロー

  • Gmailが「Content Security Policy」(CSP)をサポート
  • カテゴリートップへ
  • Content Security Policy(CSP)とは