ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

ເລື່ອງ: Google ອອກມາແຈ້ງເຕືອນບັ໊ກ (Bug) ທີ່ມີຄວາມຮ້າຍແຮງໃນ ໂປ​ໂຕ​ຄອ​ລ ປັບ​ຄ່າ​ເວ​ລາ.

ຂໍ້ມູນທົ່ວໄປ 

NTP (Network Time Protocol) ເປັນໂປໂຕຄອລໃນການປັບຄ່າເວລາຂອງໂມງໃນລະບົບຄອມພິວເຕີ ໂດຍ NTP ໃຊ້ Port 123 ຂອງໂປໂຕຄອລ UDP ເປັນພື້ນຖານ ມັນຖືກອອກແບບມາໃຫ້ຮັກສາຄວາມແນ່ນອນຈາກປັດໃຈຕ່າງໆ ທີ່ເຮັດໃຫ້ເກີດຄວາມຄາດເຄື່ອນຂອງເວລາ.

ທີມ​ງານຄວາມ​ປອດ​ໄພ​ຂອງ​ google ​​ໄດ້ແຈ້ງ​ບັ໊ກ (Bug) ໃນ ntpd ລຸ້ນ​​ທີ່​ອອກກ່ອນ​ໜ້າ 4.2.8 (ທີ່​ຫາກໍ່​ອອກ​ມາ​ເມື່ອ​ວັນທີ 19 ທັນວາ ​ທີ່​ຜ່ານມາ) ທຸກ​ລຸ້ນ ມີ​ບັ໊ກ (Bug)​ ຄວາມ​ປອດ​ໄພ​ສຳຄັນ​ຄື​ແຮັກ​ເກີ​ສາມາດ​ຍິງ​ໂຄ້​ດ​ເຂົ້າ​ມາ​ລັນ​ໃນ​ເຄື່ອງ​ທີ່​ລັນ ntpd ຢູ່​ໄດ້.

ICS-CERT ບໍ່​ໄດ້​ໃຫ້​ລາຍ​ລະອຽດ​ຂອງ​ບັ໊ກ (Bug) ​ທັ້ງ​ໝົດ ໂດຍ​ການ​ແຈ້ງ​ເຕືອນ​ແຈ້ງ​ເປັນ​ກຸ່ມ​ຂອງ​ບັ໊ກ (Bug) ໄດ້​ແກ່:

  • CVE-2014-9293 ບັນຫາ​ຂອງ​ການສ້າງ​ເລກ​ສຸ່ມ​ໃນ​ກໍລະນີ​ທີ່​ບໍ່​ມີ​ໄຟລ໌​ກະແຈ.
  • CVE-2014-9294 ບັນຫາ​ການສ້າງ​ເລກ​ສຸ່ມ​ເນື່ອງ​ຈາກ​ການ​ໃຊ້​ຄ່າ​ເລີ່ມ​ຕົ້ນ​ທີ່​ອ່ອນແອ.
  • CVE-2014-9295 ການ​ລັນ​ໂຄ້​ດຈາກ​ເຄື່ອງ​ລີ​ໂມດ​ທີ່​ຍິງ​ໂຄ້​ດ​ເຂົ້າຜ່ານ​ບັ໊ກ stack overflow.
  • CVE-2014-9296 ຄວາມ​ຜິດ​ພາດ​ຂອງ​ໂຄ້​ດ​ບາງ​ສ່ວນ​ທີ່​ບໍ່​ຄືນ​ຄ່າ​ຫຼັງ​ເຮັດວຽກ​ສຳເລັດ.

 

ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

          ລະບົບທີ່ໃຊ້ ntpd (Network Time Protocol daemon) ລຸ້ນ​ກ່ອນ​ໜ້າ 4.2.8

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ທາງ ICS-CERT ລະ​ບຸ​ວ່າ​ການ​ໂຈມ​ຕີ​ບັ໊ກ (Bug)​ ນີ້ໃຊ້​ຄວາມ​ສາມາດ​ລະ​ດັບ​ຕ່ຳ ໂດຍ​ຄະ​ແນນ​ຄວາມ​ຮ້າຍແຮງ​ຕາມ​ມາດຕະຖານ CVSS (Common Vulnerability Scoring System) ຢູ່​ທີ່ 7.3 ດັ່ງ​ນັ້ນ​ຄວນປັບປຸງ​ ຫຼື ​ຢ່າງ​ໜ້ອຍ​ໆ ກໍ່ປິດ​ບໍ່​ໃຫ້​ເຄືອຂ່າຍ​ພາຍນອກ​ເຂົ້າ​ເຖິງ ntpd ໄດ້.

ທາງ Theo de Raadt ຜູ້​ເບິ່ງແຍງ​ໂຄງ​ການ OpenBSD ອອກ​ມາ​ລະ​ບຸ​ວ່າຊ໋ອບແວOpenNTPD ບໍ່​ມີ​ບັນຫາ​ນີ້​ເພາະ​ຂຽນ​ຊ໋ອບແວຂຶ້ນ​ໃໝ່​ທັງ​ໝົດ ມີ​ການ​ປ້ອງ​ກັນ​ທີ່​ດີ ໂຄ້​ດຂຽນ​ດ້ວຍ​ແນວ​ທາງ​ທີ່​ດີ​ທີ່ສຸດ​ເທົ່າ​ທີ່​ຮູ້​ກັນ​ໃນ​ຍຸກ​ໃໝ່ ໂດຍ​ຕົວ​ໂຄ້​ດ​ມີຄວາມ​ຍາວ​ບໍ່​ເຖິງ 5,000 ບັນ​ທັດ​ທຽບ​ກັບ ntpd ທີ່​ຍາວ​ປະ​ມານ 100,000 ບັນ​ທັດ.

 

ຂໍ້ມູນອ້າງອີງ:

  1. ICS-CERT
  2. https://www.blognone.com/node/64137