Google ອອກມາແຈ້ງເຕືອນບັ໊ກ (Bug) ທີ່ມີຄວາມຮ້າຍແຮງໃນ ໂປໂຕຄອລ ປັບຄ່າເວລາ.
ຂໍ້ມູນທົ່ວໄປ
NTP (Network Time Protocol) ເປັນໂປໂຕຄອລໃນການປັບຄ່າເວລາຂອງໂມງໃນລະບົບຄອມພິວເຕີ ໂດຍ NTP ໃຊ້ Port 123 ຂອງໂປໂຕຄອລ UDP ເປັນພື້ນຖານ ມັນຖືກອອກແບບມາໃຫ້ຮັກສາຄວາມແນ່ນອນຈາກປັດໃຈຕ່າງໆ ທີ່ເຮັດໃຫ້ເກີດຄວາມຄາດເຄື່ອນຂອງເວລາ.
ທີມງານຄວາມປອດໄພຂອງ google ໄດ້ແຈ້ງບັ໊ກ (Bug) ໃນ ntpd ລຸ້ນທີ່ອອກກ່ອນໜ້າ 4.2.8 (ທີ່ຫາກໍ່ອອກມາເມື່ອວັນທີ 19 ທັນວາ ທີ່ຜ່ານມາ) ທຸກລຸ້ນ ມີບັ໊ກ (Bug) ຄວາມປອດໄພສຳຄັນຄືແຮັກເກີສາມາດຍິງໂຄ້ດເຂົ້າມາລັນໃນເຄື່ອງທີ່ລັນ ntpd ຢູ່ໄດ້.
ICS-CERT ບໍ່ໄດ້ໃຫ້ລາຍລະອຽດຂອງບັ໊ກ (Bug) ທັ້ງໝົດ ໂດຍການແຈ້ງເຕືອນແຈ້ງເປັນກຸ່ມຂອງບັ໊ກ (Bug) ໄດ້ແກ່:
- CVE-2014-9293 ບັນຫາຂອງການສ້າງເລກສຸ່ມໃນກໍລະນີທີ່ບໍ່ມີໄຟລ໌ກະແຈ.
- CVE-2014-9294 ບັນຫາການສ້າງເລກສຸ່ມເນື່ອງຈາກການໃຊ້ຄ່າເລີ່ມຕົ້ນທີ່ອ່ອນແອ.
- CVE-2014-9295 ການລັນໂຄ້ດຈາກເຄື່ອງລີໂມດທີ່ຍິງໂຄ້ດເຂົ້າຜ່ານບັ໊ກ stack overflow.
- CVE-2014-9296 ຄວາມຜິດພາດຂອງໂຄ້ດບາງສ່ວນທີ່ບໍ່ຄືນຄ່າຫຼັງເຮັດວຽກສຳເລັດ.
ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ
ລະບົບທີ່ໃຊ້ ntpd (Network Time Protocol daemon) ລຸ້ນກ່ອນໜ້າ 4.2.8
ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ
ທາງ ICS-CERT ລະບຸວ່າການໂຈມຕີບັ໊ກ (Bug) ນີ້ໃຊ້ຄວາມສາມາດລະດັບຕ່ຳ ໂດຍຄະແນນຄວາມຮ້າຍແຮງຕາມມາດຕະຖານ CVSS (Common Vulnerability Scoring System) ຢູ່ທີ່ 7.3 ດັ່ງນັ້ນຄວນປັບປຸງ ຫຼື ຢ່າງໜ້ອຍໆ ກໍ່ປິດບໍ່ໃຫ້ເຄືອຂ່າຍພາຍນອກເຂົ້າເຖິງ ntpd ໄດ້.
ທາງ Theo de Raadt ຜູ້ເບິ່ງແຍງໂຄງການ OpenBSD ອອກມາລະບຸວ່າຊ໋ອບແວOpenNTPD ບໍ່ມີບັນຫານີ້ເພາະຂຽນຊ໋ອບແວຂຶ້ນໃໝ່ທັງໝົດ ມີການປ້ອງກັນທີ່ດີ ໂຄ້ດຂຽນດ້ວຍແນວທາງທີ່ດີທີ່ສຸດເທົ່າທີ່ຮູ້ກັນໃນຍຸກໃໝ່ ໂດຍຕົວໂຄ້ດມີຄວາມຍາວບໍ່ເຖິງ 5,000 ບັນທັດທຽບກັບ ntpd ທີ່ຍາວປະມານ 100,000 ບັນທັດ.
ຂໍ້ມູນອ້າງອີງ:
