Sicherheits-Update: Schwachstellen in der ntp-4.2.8p15-Bibliothek
17.04.2023
Heute möchten wir Sie über fünf Sicherheitslücken in der ntp-4.2.8p15-Bibliothek informieren. Die Bibliothek wird in unseren MOBATime DTS-Geräten verwendet.
Die vier Schwachstellen CVE-2023-26551, CVE-2023-26552, CVE-2023-26553, CVE-2023-26554 stehen in Zusammenhang mit dem ntpq-Dienst, der zur Übermittlung von Statusinformationen dient. In unseren Geräten kann dieser Dienst auf lokalen Zugriff beschränkt oder vollständig deaktiviert werden. Wir empfehlen, die NTP-Abfragen gemäß unserer Sicherheitsrichtlinie zu deaktivieren. Diese können Sie hier herunterladen:
Sind die NTP-Abfragen bereits deaktiviert, sind die Geräte nicht von den Sicherheitslücken betroffen.
Die fünfte Schwachstelle, CVE-2023-26555, betrifft einen Treiber für serielle Uhrenreferenzen. Dieser wird in unseren Zeitservern oder Hauptuhrenprodukten nicht verwendet.
Ebenso sind unsere NTP-Uhren (analog und digital) nicht von den genannten Sicherheitslücken betroffen.
Weitere Informationen und eine Diskussion der Schwachstellen finden Sie unter den folgenden Links:
https://github.com/spwpun/ntp-4.2.8p15-cves
https://github.com/spwpun/ntp-4.2.8p15-cves/issues/1
Sollten Sie Fragen haben, kontaktieren Sie uns bitte gerne.
Telefon: +49 7720 8535-0
E-Mail: buerk@buerk-mobatime.de