国家结核控制规划包含三个缺陷,可用于远程否认服务:
国家结核控制规划ntp_crypto cve - 2015 - 7691。c crypto_xmit()函数评价远程DoS扩展字段
国家结核控制规划ntpd守护进程,Autokey启用和配置了GQ身份计划,有一个缺陷与不完整的补丁cve - 2014 - 9750。在的缺陷crypto_xmit ()函数ntp_crypto.c。
…案例CRYPTO_CERT | CRYPTO_RESP: vallen = ntohl (ep - > vallen);/ *必须< 64 k * /如果(vallen = = 0 | | vallen > MAXHOSTNAME | | len - VALUE_LEN < vallen) {rval = XEVNT_LEN;打破;}……
的len变量被初始化,这是当前外向扩展的长度,不传入的扩展。MAXHOSTNAME = 512和VALUE_LEN = 24岁的表达式莱恩- VALUE_LEN < vallen不会导致“真正的”如果它被评估。
国家结核控制规划ntp_crypto cve - 2015 - 7692。c多个函数Autokey数据包处理远程DoS
在ntp_crypto.c,crypto_bob2 (),crypto_bob3 (),cert_sign ()函数ntp_crypto.c缺少检查vallen长度。这些函数将一个扩展远程客户端通过一个客户端发送的分组方式。扩展是通过处理的crypto_xmit ()函数没有检查vallen“早期”。
在crypto_bob2()和crypto_bob3 ():
…len = ntohl (ep - > vallen);如果((r = BN_bin2bn ((u_char *) ep - > pkt, len, NULL)) = = NULL) {…在cert_sign ():…cptr = (void *) ep - > pkt;如果((要求= d2i_X509(零、cptr ntohl (ep - > vallen))) = = NULL) {…
cve - 2015 - 7701国家结核控制规划Autokey请求远程DoS饱和内存消耗
ntpd守护程序进程对称活跃NTPv4与多个扩展包。这可能会导致内存泄漏,如下所示:
int crypto_recv (…) {…/ /循环过程(多个)扩展而((has_mac = rbufp - > recv_length authlen) > (int) MAX_MAC_LEN) {…案例CRYPTO_ASSOC: / *如果我们的状态机是运行这个消息到来后,其他的可能会重新启动。然而,这可能是入侵者,就夹的轮询间隔和发现自己。否则,通过扩展字段来传输。* /如果(peer - >密码& CRYPTO_FLAG_CERT) {rval = XEVNT_ERR;打破;}如果(peer - > cmmd)未知的宏:{如果(同行—>协会! = associd) {rval = XEVNT_ERR;打破;}}fp = emalloc (len); memcpy(fp, ep, len); fp->associd = htonl(peer->associd); peer->cmmd = fp; ... }
当处理一个扩展的ASSOC Autokey消息,ntpd分配和复制内存的扩展和分配同行- > cmmd。然而,当多个协会消息出现在对称活跃NTPv4数据包,指向的内存同行- > cmmd没有释放前同行- > cmmd = fp任务。这会导致内存泄漏,可能会导致拒绝服务通过一系列精心设计的包。