Network Time Protocol (NTP) は、様々なサービスやアプリケーションで時刻を同期するために使用される通信プロトコルです。ntpd には複数の脆弱性が存在します。 スプーフィングによる認証回避 (CWE-290) - CVE-2014-9298 ソースアドレスを IPv6 アドレス ::1 に偽装されると、ACL による制限を回避される可能性があります。 プログラムの異常状態や例外条件を適切に検査しない (CWE-754) - CVE-2014-9297 ntp_crypto.c において拡張フィールドの長さ (vallen) の値が正しく検証されていないため、情報漏えいやプログラムの異常終了が発生する可能性があります。 PRNG における不十分なエントロピー (CWE-332) - CVE-2014-9293 ntp.conf ファイルで auth key が設定さ
タグ
- すべて
- MySQL (6)
- まとめ (9)
- .htaccess (5)
- 2ch (19)
- 2段階認証 (5)
- 3D (5)
- 941 (4)
- AKB48 (6)
- ASP (6)
- AWS (116)
- Agile (4)
- Ajax (11)
- Amazon (34)
- Android (141)
- Apache (39)
- Apple (24)
- AuthCompornent (7)
- CG (5)
- CI (18)
- CMS (4)
- CSRF (4)
- CSS (99)
- CSS3 (43)
- CTO (5)
- CVE-2015-0235 (6)
- CakePHP (68)
- Canvas (10)
- Capistrano (4)
- CentOS (11)
- ChatWork (7)
- Chrome (27)
- CoffeeScript (7)
- Compass (4)
- DB (22)
- DNS (8)
- DRBD (6)
- DoS攻撃対策 (10)
- EC (9)
- ECサイト (4)
- Eclipse (5)
- Evernote (15)
- Excel (7)
- Facebookページ (5)
- Firebug (4)
- Firefox (35)
- Flash (28)
- Framework (9)
- GREE (16)
- Git (32)
- GitHub (68)
- Google Analytics (5)
- Google App Engine (6)
- Google+ (4)
- Gunosy (4)
- HBase (4)
- HTML (18)
- HTML5 (146)
- HTTP (13)
- Hadoop (8)
- HipChat (4)
- IDE (4)
- IE (27)
- IE6 (24)
- IME (7)
- IPA (5)
- IPアドレス (6)
- IT (18)
- ITmedia (4)
- ImageMagick (7)
- Immutable Infrastructure (6)
- Instagram (8)
- JSON (6)
- JSONP (7)
- Java (19)
- JavaScript (118)
- KDDI (4)
- KPI (5)
- KVS (6)
- Kindle (5)
- KyotoTycoon (4)
- Linux (37)
- MT (24)
- MVC (10)
- Mac (22)
- MacBook Air (5)
- MeCab (5)
- Media Queries (4)
- Mercurial (18)
- Microsoft (9)
- Mozilla (5)
- Munin (4)
- MySQL (111)
- MySQL5.4 (4)
- Nexus One (4)
- OAuth (10)
- OpenSocial (12)
- PDF (6)
- PHP (154)
- PHP5.3 (4)
- POODLE (5)
- Perl (11)
- Photoshop (15)
- Pinterest (7)
- Pivotal Tracker (8)
- Plugin (25)
- RESTful (9)
- Redmine (15)
- Retina (5)
- Ruby (89)
- S3 (8)
- SDK (5)
- SEO (41)
- SQLインジェクション (5)
- SSH (5)
- SSL (19)
- TDD (16)
- Tips (62)
- Titanium (6)
- Titanium Mobile (11)
- Togetter (22)
- Twitter (144)
- UI (46)
- Ustream (5)
- VPS (5)
- Vim (14)
- W3C (5)
- WEB (31)
- WEB制作会社 (6)
- WYSIWYG (5)
- WebAPI (11)
- WebKit (7)
- Wi-Fi (7)
- Windows (18)
- WordPress (71)
- XHTML (12)
- XSS (12)
- XUL (5)
- Xperia (9)
- Yahoo (13)
- Yahoo! (8)
- YouTube (13)
- adobe (16)
- amachang (7)
- analytics (8)
- api (43)
- atom (7)
- au (14)
- auto scaling (6)
- bash (5)
- bootstrap (5)
- border-radius (9)
- business (23)
- cache (6)
- chef (24)
- conference (6)
- cookpad (24)
- debug (10)
- demo (6)
- dena (10)
- deploy (16)
- design (12)
- developer (6)
- development (85)
- devise (8)
- devops (14)
- docker (35)
- docomo (17)
- ec2 (28)
- elb (9)
- event (7)
- extension (6)
- facebook (80)
- fluentd (5)
- gem (20)
- geohash (8)
- ghost (6)
- gigazine (10)
- git-flow (5)
- google (162)
- heroku (11)
- i18n (6)
- iOS (63)
- iPad (16)
- iPhone (100)
- iPhoneアプリ (6)
- iam (6)
- innodb (12)
- iptables (7)
- jQuery (113)
- jQuery Mobile (21)
- jenkins (15)
- library (9)
- lifehack (13)
- livedoor (7)
- lsyncd (5)
- mail (5)
- management (8)
- memcached (27)
- mixi (41)
- mixiアプリ (7)
- mobile (8)
- mod_dosdetector (9)
- mod_rewrite (5)
- module (6)
- monit (8)
- nanapi (7)
- naoya (9)
- naver (12)
- netbeans (6)
- nginx (14)
- node.js (10)
- openssl (13)
- performance (9)
- programming (10)
- publickey (8)
- qiita (12)
- rails (123)
- rails4 (5)
- rpm (6)
- rspec (19)
- rsync (8)
- s3fs (7)
- sass (14)
- scrum (6)
- scss (8)
- security (64)
- server (5)
- service (6)
- ses (5)
- slide (9)
- slideshare (16)
- sns (12)
- startup (20)
- swift (10)
- team (6)
- test (12)
- tool (6)
- unicorn (9)
- ux (16)
- vagrant (12)
- webfonts (6)
- websocket (6)
- webサービス (419)
- webデザイン (221)
- web制作 (117)
- workflow (5)
- あとで読む (327)
- お役立ち (9)
- お笑い (6)
- お金 (8)
- これはすごい (33)
- これはひどい (40)
- さくらのクラウド (5)
- さくらインターネット (14)
- はてな (78)
- はてブ (5)
- まとめ (337)
- アイコン (28)
- アイデア (16)
- アクセス解析 (21)
- アジャイル (38)
- アジャイル開発 (6)
- アップロード (8)
- アドオン (23)
- アニメ (7)
- アフィリエイト (22)
- アプリ (89)
- アプリケーション (7)
- アメリカ (7)
- アルゴリズム (11)
- アンチパターン (5)
- アーキテクチャ (5)
- イベント (21)
- イラスト (6)
- インタビュー (20)
- インターネット (6)
- インテリア (13)
- インフラ (35)
- エイプリルフール (7)
- エディタ (7)
- エンジニア (50)
- オフィス (14)
- オブジェクト指向 (5)
- オンラインストレージ (11)
- オープンソース (21)
- カスタマイズ (18)
- カフェ (6)
- ガイドライン (8)
- ガンダム (5)
- キャッシュ (12)
- キャンペーン (10)
- クックパッド (31)
- クラウド (23)
- グロースハック (5)
- ゲーム (12)
- コミュニケーション (22)
- コミュニティ (5)
- コーディング (19)
- コーディング規約 (5)
- コードレビュー (8)
- サンプル (16)
- サーバ (36)
- サーバ監視 (13)
- サーバ管理 (45)
- サービス (6)
- システム開発 (21)
- ジェネレータ (16)
- スクラム (10)
- スタートアップ (68)
- ストレージ (7)
- スマートフォン (45)
- スライド (8)
- セキュリティ (103)
- ソフトウェア開発 (5)
- ソフトバンク (5)
- ソーシャルゲーム (13)
- ソースコード (7)
- チュートリアル (14)
- チューニング (47)
- ツール (27)
- テクニック (8)
- テスト (58)
- テスト駆動開発 (5)
- テレビ (6)
- テンプレート (43)
- テーマ (18)
- デザイナー (7)
- デザイン (68)
- デプロイ (6)
- データベース (15)
- ドキュメント (7)
- ドメイン (5)
- ニコニコ動画 (5)
- ネタ (75)
- ネット (6)
- ネットワーク (7)
- バックアップ (6)
- バージョン管理 (17)
- パスワード (5)
- パフォーマンス (28)
- ビジネス (85)
- ビジネスモデル (11)
- ファッション (7)
- フォント (50)
- フォーム (5)
- フリー (10)
- フリーソフト (11)
- フリーフォント (11)
- フリーランス (20)
- フリー素材 (32)
- フレームワーク (15)
- ブラウザ (26)
- ブログ (22)
- プラグイン (75)
- プレスリリース (7)
- プレゼン (10)
- プログラマ (6)
- プログラミング (79)
- プログラム (5)
- プロジェクト (5)
- プロジェクト管理 (32)
- ベンチマーク (6)
- ベンチャー (15)
- ペルソナ (13)
- ボタン (5)
- マネジメント (10)
- マーケティング (56)
- メルマガ (5)
- メール (10)
- モバイル (11)
- ユーザビリティ (16)
- ライフハック (40)
- ライブラリ (16)
- リファレンス (9)
- レイアウト (8)
- レシピ (14)
- レスポンシブ (6)
- レビュー (5)
- レプリケーション (7)
- ログ (8)
- ロゴ (10)
- ワイヤーフレーム (9)
- 事件 (11)
- 人生 (15)
- 仕事 (56)
- 仕事術 (19)
- 企業 (7)
- 企画 (5)
- 会社 (14)
- 位置情報 (5)
- 全文検索 (8)
- 写真 (30)
- 写真素材 (5)
- 勉強 (19)
- 勉強会 (11)
- 動画 (15)
- 参考サイト (6)
- 受託開発 (5)
- 口蹄疫 (5)
- 同期 (5)
- 名刺 (7)
- 図書館 (5)
- 堀江貴文 (5)
- 増田 (10)
- 契約 (5)
- 学習 (12)
- 広告 (22)
- 形態素解析 (7)
- 恋愛 (8)
- 携帯 (6)
- 携帯サイト (28)
- 攻殻機動隊 (9)
- 政治 (6)
- 教育 (10)
- 文字コード (21)
- 文章 (8)
- 料理 (7)
- 旅行 (21)
- 日本 (15)
- 日本語 (20)
- 最適化 (6)
- 本 (6)
- 東京 (6)
- 検索エンジン (12)
- 楽天 (5)
- 正規表現 (9)
- 決済 (7)
- 法律 (7)
- 炎上 (5)
- 無線LAN (6)
- 男女 (6)
- 画像 (23)
- 画像処理 (11)
- 監視 (14)
- 短縮URL (5)
- 税金 (6)
- 素材 (38)
- 経営 (28)
- 経済 (6)
- 結婚 (6)
- 絵文字 (7)
- 翻訳 (5)
- 考え方 (11)
- 脆弱性 (27)
- 芸能 (6)
- 英会話 (9)
- 英語 (41)
- 英語学習 (5)
- 著作権 (10)
- 虚構新聞 (6)
- 設定 (13)
- 設計 (14)
- 認証 (12)
- 読み物 (5)
- 課金 (5)
- 負荷テスト (6)
- 負荷分散 (18)
- 資料 (14)
- 起業 (103)
- 転職 (7)
- 週末起業 (5)
- 運用 (18)
- 配色 (21)
- 鉄道 (5)
- 開発 (163)
- 開発環境 (15)
- 障害 (5)
- 電子書籍 (16)
- 高速化 (28)
- webサービス (419)
- まとめ (337)
- あとで読む (327)
- webデザイン (221)
- 開発 (163)
- google (162)
- PHP (154)
- HTML5 (146)
- Twitter (144)
- Android (141)
ntpに関するdeg84のブックマーク (4)
-
deg84 2014/12/24
- ntp
- security
リンク -
時刻同期サービス「ntpd」に重大脆弱性、細工パケット一撃でサーバー乗っ取りも
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が見つかったことを伝えた。発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、サーバーがいきなり乗っ取られる危険性があるものも含まれている。 見つかった脆弱性は四つ。(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が生成される問題、(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い対称鍵を
-
NTPDの脆弱性 CVE-2014-9295他の関連情報をまとめてみた。 - piyolog
2014年12月18日にNTP ProjectはNTPDに複数の脆弱性が確認され、その修正プログラムを公開したことを発表しました。ここでは任意のコードが実行可能とされるCVE-2014-9295を中心に関連情報についてまとめます。 注意喚起・脆弱性公開情報 2014年12月19日 US-CERT Vulnerability Note VU#852879 Network Time Protocol daemon (ntpd) contains multiple vulnerabilities ICS-CERT Advisory (ICSA-14-353-01) Network Time Protocol Vulnerabilities 2014年12月22日 JVNVU#96605606 Network Time Protocol daemon (ntpd) に複数の脆弱性 脆弱関連情報 C
-
時刻同期のNTPに極めて深刻な脆弱性--「パケット1つで悪用が可能」
Network Time Protocol(NTP)に、リモートからのコード実行に悪用される可能性がある極めて深刻なセキュリティホールが複数発見された。ICS-CERTによると、この脆弱性の悪用に高度なスキルは不要で、悪用するための具体的な手法がすでにインターネット上で公開されているという。 NTPバージョン4の4.2.8未満はすべて脆弱性の影響を受けるため、それらのNTPはただちにバージョン4.2.8にアップデートする必要がある。ただしNTPのウェブサイトは、米国東部時間12月19日17時の時点で断続的にアクセス不能に陥っていた。NTPバージョン4.2.8または脆弱性を修正するパッチを確実に入手するには、使用しているOSのベンダーに問い合わせることが推奨される。 セキュリティ系のニュース配信サイト「threatpost」のDennis Fisher氏によると、NTPのウェブサイトがアクセ
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
処理を実行中です
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
設定を変更しましたx