News vom 18.03.2019
Meinberg Security Advisory [MBGSA-1901] NTP und OpenSSL für LANTIME-Firmware und NTP für Windows
Potentielle Sicherheitsprobleme in NTP 4.2.8p12 und OpenSSL 1.0.2q wurden erkannt und behoben. Die LANTIME-Firmware-Version 6.24.021 und NTP für Windows ntp-4.2.8p13 enthalten daher die neueste NTP (4.2.8p13) und OpenSSL (1.0.2r) Version.
CVE-IDs:
-
NTP:
CVE-2019-8936 (CVSSv3 Score: 4.2) -
OpenSSL:
CVE-2019-1559 (CVSSv3 Score: 5.9) -
Aktualisierte Versionen:
NTP: 4.2.8p13
OpenSSL: 1.0.2r
1. Beschreibung der Sicherheitsschwachstellen
Die Sicherheitsschwachstellen werden auf den jeweiligen Herstellerseiten und in der NIST National Vulnerability Database (NVD) detailliert beschrieben. Die Links zu den Beschreibungen finden Sie unter 4 Weitere Informationen.
2. Betroffene Systeme
Alle LANTIME-Firmware-Versionen vor V6.24.021 sind von den jeweiligen genannten Schwachstellen betroffen. Die LANTIME-Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100) verwendet.Außerdem ist NTP für Windows vor Version ntp-4.2.8p13 von den beiden Schwachstellen betroffen.
Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.
3. Mögliche Sicherheitsmaßnahmen
Die Sicherheitspatches für NTP und OpenSSL sind in der LANTIME-Firmware-Version 6.24.021 und in der NTP-für-Windows-Version ntp-4.2.8p13 enthalten. Eine Aktualisierung auf diese Versionen behebt die Probleme. Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware auf 6.24.021 und NTP für Windows auf ntp-4.2.8p13 zu aktualisieren.
4. Weitere Informationen
Weitere Details und Informationen finden Sie auf den jeweiligen Webseiten:-
NTP:
- https://nvd.nist.gov/vuln/detail/CVE-2019-8936
- http://support.ntp.org/bin/view/Main/SecurityNotice#Recent_Vulnerabilities -
OpenSSL:
- https://nvd.nist.gov/vuln/detail/CVE-2019-1559
- https://www.openssl.org/news/vulnerabilities.html
Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.