Уязвимости затрагивают все версии ntpd до 4.2.8p9.
Участники NTP Project представили обновление ntp-4.2.8p9, устраняющее множественные уязвимости в демоне ntpd. В общей сложности разработчики исправили 10 проблем, проэксплуатировав которые удаленный атакующий мог вызвать отказ в обслуживании. Уязвимости затрагивает все версии ntpd до 4.2.8p9.
В числе прочих была устранена проблема в NTP-демоне, позволяющая неаутентифицированному пользователю вызвать отказ в обслуживании ntpd при помощи специально сформированного UDP-пакета, что влечет разыменование нулевого указателя.
Данная уязвимость была обнаружена исследователем Магнусом Стубманом (Magnus Stubman) 24 июня нынешнего года. Тогда же он проинформировал о ней участников проекта. Эксперт также опубликовал PoC-эксплоит, позволяющий вызвать отказ в обслуживании сервера, работающего по NTP. Поскольку эксплоит доступен общественности, администраторам настоятельно рекомендуется обновить NTP-реализации до исправленной версии.
Гравитация научных фактов сильнее, чем вы думаете