Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

Google ອອກມາແຈ້ງເຕືອນບັ໊ກ (Bug) ທີ່ມີຄວາມຮ້າຍແຮງໃນ ໂປໂຕຄອລ ປັບຄ່າເວລາ.

Google ອອກມາແຈ້ງເຕືອນບັ໊ກ (Bug) ທີ່ມີຄວາມຮ້າຍແຮງໃນ ໂປໂຕຄອລ ປັບຄ່າເວລາ.

ຂໍ້ມູນທົ່ວໄປ 

NTP (Network Time Protocol) ເປັນໂປໂຕຄອລໃນການປັບຄ່າເວລາຂອງໂມງໃນລະບົບຄອມພິວເຕີ ໂດຍ NTP ໃຊ້ Port 123 ຂອງໂປໂຕຄອລ UDP ເປັນພື້ນຖານ ມັນຖືກອອກແບບມາໃຫ້ຮັກສາຄວາມແນ່ນອນຈາກປັດໃຈຕ່າງໆ ທີ່ເຮັດໃຫ້ເກີດຄວາມຄາດເຄື່ອນຂອງເວລາ.

ທີມ​ງານຄວາມ​ປອດ​ໄພ​ຂອງ​ google ​​ໄດ້ແຈ້ງ​ບັ໊ກ (Bug) ໃນ ntpd ລຸ້ນ​​ທີ່​ອອກກ່ອນ​ໜ້າ 4.2.8 (ທີ່​ຫາກໍ່​ອອກ​ມາ​ເມື່ອ​ວັນທີ 19 ທັນວາ ​ທີ່​ຜ່ານມາ) ທຸກ​ລຸ້ນ ມີ​ບັ໊ກ (Bug)​ ຄວາມ​ປອດ​ໄພ​ສຳຄັນ​ຄື​ແຮັກ​ເກີ​ສາມາດ​ຍິງ​ໂຄ້​ດ​ເຂົ້າ​ມາ​ລັນ​ໃນ​ເຄື່ອງ​ທີ່​ລັນ ntpd ຢູ່​ໄດ້.







ICS-CERT ບໍ່​ໄດ້​ໃຫ້​ລາຍ​ລະອຽດ​ຂອງ​ບັ໊ກ (Bug) ​ທັ້ງ​ໝົດ ໂດຍ​ການ​ແຈ້ງ​ເຕືອນ​ແຈ້ງ​ເປັນ​ກຸ່ມ​ຂອງ​ບັ໊ກ (Bug) ໄດ້​ແກ່:

  • CVE-2014-9293 ບັນຫາ​ຂອງ​ການສ້າງ​ເລກ​ສຸ່ມ​ໃນ​ກໍລະນີ​ທີ່​ບໍ່​ມີ​ໄຟລ໌​ກະແຈ.
  • CVE-2014-9294 ບັນຫາ​ການສ້າງ​ເລກ​ສຸ່ມ​ເນື່ອງ​ຈາກ​ການ​ໃຊ້​ຄ່າ​ເລີ່ມ​ຕົ້ນ​ທີ່​ອ່ອນແອ.
  • CVE-2014-9295 ການ​ລັນ​ໂຄ້​ດຈາກ​ເຄື່ອງ​ລີ​ໂມດ​ທີ່​ຍິງ​ໂຄ້​ດ​ເຂົ້າຜ່ານ​ບັ໊ກ stack overflow.
  • CVE-2014-9296 ຄວາມ​ຜິດ​ພາດ​ຂອງ​ໂຄ້​ດ​ບາງ​ສ່ວນ​ທີ່​ບໍ່​ຄືນ​ຄ່າ​ຫຼັງ​ເຮັດວຽກ​ສຳເລັດ.


ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

          ລະບົບທີ່ໃຊ້ ntpd (Network Time Protocol daemon) ລຸ້ນ​ກ່ອນ​ໜ້າ 4.2.8


ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ທາງ ICS-CERT ລະ​ບຸ​ວ່າ​ການ​ໂຈມ​ຕີ​ບັ໊ກ (Bug)​ ນີ້ໃຊ້​ຄວາມ​ສາມາດ​ລະ​ດັບ​ຕ່ຳ ໂດຍ​ຄະ​ແນນ​ຄວາມ​ຮ້າຍແຮງ​ຕາມ​ມາດຕະຖານ CVSS (Common Vulnerability Scoring System) ຢູ່​ທີ່ 7.3 ດັ່ງ​ນັ້ນ​ຄວນປັບປຸງ​ ຫຼື ​ຢ່າງ​ໜ້ອຍ​ໆ ກໍ່ປິດ​ບໍ່​ໃຫ້​ເຄືອຂ່າຍ​ພາຍນອກ​ເຂົ້າ​ເຖິງ ntpd ໄດ້.

ທາງ Theo de Raadt ຜູ້​ເບິ່ງແຍງ​ໂຄງ​ການ OpenBSD ອອກ​ມາ​ລະ​ບຸ​ວ່າຊ໋ອບແວOpenNTPD ບໍ່​ມີ​ບັນຫາ​ນີ້​ເພາະ​ຂຽນ​ຊ໋ອບແວຂຶ້ນ​ໃໝ່​ທັງ​ໝົດ ມີ​ການ​ປ້ອງ​ກັນ​ທີ່​ດີ ໂຄ້​ດຂຽນ​ດ້ວຍ​ແນວ​ທາງ​ທີ່​ດີ​ທີ່ສຸດ​ເທົ່າ​ທີ່​ຮູ້​ກັນ​ໃນ​ຍຸກ​ໃໝ່ ໂດຍ​ຕົວ​ໂຄ້​ດ​ມີຄວາມ​ຍາວ​ບໍ່​ເຖິງ 5,000 ບັນ​ທັດ​ທຽບ​ກັບ ntpd ທີ່​ຍາວ​ປະ​ມານ 100,000 ບັນ​ທັດ.


ຂໍ້ມູນອ້າງອີງ:

  1. ICS-CERT
  2. https://www.blognone.com/node/64137
Porher 26 December 2014 1,180 Print