BSI warnt vor kritischen Zero-Day-Lücken im NTP-Server

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor fünf kritischen Sicherheitslücken im Zeitserver NTP. Ein IT-Forscher hat diese Lücken gemeldet, durch die Angreifer Schadcode einschleusen, ausführen oder Denial-of-Service-Angriffe auslösen können. Es gibt noch keine Updates für diese Zero-Day-Lücken, die den NTP-Server von ntp.org in der Version 4.2.8p15 betreffen. Die Schwachstellen ermöglichen das Überschreiben von Speicherbereichen außerhalb der vorgesehenen Grenzen durch das Senden manipulierter Datenpakete.

Das BSI stuft die Lücken als "kritisch" mit einem CVSS-Wert von 9.8 ein.

Administratoren sollten daher den Zugriff von externen Quellen auf ihre eigene verwundbare NTP-Infrastruktur unterbinden und möglicherweise temporär auf einen alternativen NTP-Dienst ausweichen, bis Updates bereitgestellt werden. Es ist die erste Entdeckung solch kritischer Schwachstellen im NTP-Dienst seit 2015.

Weitere Informationen finden Sie unter: https://www.heise.de/news/BSI-warnt-vor-kritischen-Zero-Day-Luecken-im-NTP-Server-8948528.html

Mit freundlichen Grüßen

Ihr IT-Sicherheitsteam