In Folgen von kritischen Sicherheitslücken wie Heartbleed oder Shellshock haben einzelne Unternehmen ihre Bemühungen zur Prüfung von Open-Source-Software verstärkt. Einmal mehr sind es dabei nun die Sicherheitsforscher von Google, die vor kritischen Problemen in einer weit verbreiteten Software warnen.

NTP

So hat man gleich eine ganze Reihe von Fehlern im Zeit-Server NTP aufgespürt. Zwei davon lassen sich so ausnutzen, dass ein Angreifer beliebigen Code mit den Rechten des Zeit-Servers auf dem betroffenen Systems ausführen kann. Hierzu werden Pufferüberläufe ausgelöst. Dazu kommen noch vier kleinere Probleme, bei denen etwa zu schwache Schlüssel benutzt wurden.

Widerspruch

Laut einem Artikel auf Threatpost werden beide Buffer-Overflow-Lücken bereits aktiv von Angreifern ausgenutzt. Betroffen sind zahlreiche Unix- und Linux-Systeme. Softwarehersteller Red Hat betont allerdings, dass die reale Gefährdung zumindest auf den eigenen Systemen enge Grenzen hat. So läuft der NTP-Prozess üblicherweise mit einem eigenen User, der stark eingeschränkte Rechte hat. Zudem sollen sich die Lücken in der Default-Konfiguration gar nicht ausnutzen lassen.

Update

Trotzdem sei allen NTP-Nutzern und Systemadministratoren ein umgehendes Update angeraten. Zu diesem Zweck wurde bereits mit NTP 4.2.8 eine neue Version der Software veröffentlicht, die all die beschriebenen Probleme beseitigt.

Kritik

Dies ändert freilich nichts daran, dass NTP ganz prinzipiell moderne Sicherheitsanforderungen kaum mehr gerecht wird. So werden dabei sämtliche Anfragen unverschlüsselt und meist auch nicht sicher authentifiziert übertragen, was solche Verbindungen für Man-in-the-Middle-Attacken anfällig macht - und weiterführende Angriffe deutlich erleichtert. Eine vorgeschlagene Alternative ist tlsdate, das sich den Zeitstempel einfach aus verschlüsselten Paketen holt, da diese immer mit einer Zeit versehen sein müssen. (apo, derStandard.at, 22.12.2014)