nixp.ru v3.0

25 декабря 2024,
среда,
01:51:37 MSK

22 декабря 2014, 20:24

Специалисты Google обнаружили уязвимости в Network Time Protocol

3
В Google обнаружили уязвимости Network Time Protocol
В Google обнаружили уязвимости Network Time Protocol
Иллюстрация с сайта Resources.Infosecinstitute.Com

В протоколе Network Time Protocol (NTP) специалисты из компании Google обнаружили несколько уязвимостей, они затрагивают проекты, использующие его, в том числе свободный ntpd.

Network Time Protocol (NTP) — это протокол для синхронизации локального времени по сети. NTP один из старейших протоколов, он разработан в 1985 году и продолжает развиваться. Теперь — Нил Мехта (Neel Mehta) и Стивен Роэтгер (Stephen Roettger) — исследователи из команды безопасности Google нашли уязвимости (ICSA-14-353-01) и в нём. Угрозе подвержены проекты, использующие NTP до версии 4.2.8.

Выявленные уязвимости могут быть использованы удалённо, ICS-CERT указывает — для эксплуатации достаточно низкой квалификации атакующего. При этом эксплуатация позволяет злоумышленникам выполнить произвольный код с привилегиями демона ntpd. Среди уязвимостей Network Time Protocol называются недостаточная энтропия, использование криптографически слабого PNRG, переполнения буфера в стеке и отсутствующие возвраты при ошибках. Подробнее на сайте ICS-CERT.

Постоянная ссылка к новости: http://www.nixp.ru/news/13040.html. Никита Лялин по материалам phoronix.com, Ics-cert.Us-cert.Gov.

fb twitter vk
Дмитрий Шурупов

Протокол — это не «проект с открытым кодом». Его конкретные реализации — да.

tinman321

fixed

Валерий Гончарук
Протокол — это не «проект с открытым кодом». Его конкретные реализации — да.


Да, что вы, ей богу. Звучит же классно =)

tinman321

Дело не в том, что я не подумал об этом, или не различаю протокол и реализацию. Моя ошибка в том, что я использую кальку с английского — Open Source. Авторы англоязычных материалов пишут его для обозначения всего, что может быть открыто. Часто по отношению к железу вместо Open Hardware, часто для обозначения открытого подхода в разработке или организации чего угодно. Для меня привычно понимать это из контекста. Думаю и другим это знакомо, и если бы Дмитрий не обратил внимания, все бы прекрасно поняли о чём речь =)

Валерий Гончарук
и если бы Дмитрий не обратил внимания, все бы прекрасно поняли о чём речь =)


да, полностью согласен.
Поняли бы и поржали.
В принципе, корявость переводов, чаще всего и заставляет обращаться к первоисточникам, чтобы понять что всё таки хотели рассказать нам автор исходной статьи.
И да, я согласен с вами, нюансов в английской речи много, поэтому при переводе шашкой махать не следует.
Но по неписаному правилу интернета: «Админ всегда прав».

Отдельное спасибо, должен выразить редакции за то, что не забывает поставить ссылку на первоисточник для получения полной и правильной информации, для желающих.

tinman321

Новость не добавляется, если источник не указать :)