NTP-Schwachstelle: Offenbar weniger bedrohlich als zunächst vermutet

Eine kritische Lücke in der Referenzimplementierung des Network Time Protocol-Servers NTP – davor hat das BSI am Mittwoch dieser Woche gewarnt. IT-Experten etwa von SUSE kommen bei der Analyse jedoch zu anderen Ergebnissen als der Entdecker der Schwachstellen und das BSI. Die Lücke ist da, jedoch nicht so gravierend. Die NTP-Maintainer haben Berichten zufolge auch begonnen, an Sicherheitsupdates zu arbeiten.

NTP-Schwachstelle: NTP-Team hat nicht reagiert

Der Entdecker der Lücken mit dem Kürzel spwpun hatte eigenen Angaben zufolge vor einem Monat die NTP-Group auf einer alten Security-Mail-Adresse kontaktiert, jedoch keine Reaktion außer einer automatischen Eingangsbestätigung erhalten. Er bittet in der Diskussion auf Github darum, seine Ergebnisse zu überprüfen. Seine Einstufung könne falsch sein, da er zu wenig Expertenwissen diesbezüglich besitze.

Dies hat unter anderem der Maintainer des SUSE-NTP-Pakets, Reinhard Max, schon zuvor getan und kommt zu einer abweichenden Einschätzung. Die ersten vier Sicherheitsmeldungen beträfen nicht den Server ntpd, sondern libntp, die lediglich vom Kommandozeilentool ntpq genutzt werde. Das dient dazu, den aktuellen Status des ntp-Servers abzufragen. Die fünfte Lücke betrifft einen Treiber für recht alte GPS-Hardware, die kaum mehr zum Einsatz kommen dürfte.

Die Debian-IT-Experten kommen ebenfalls zu der Einschätzung, dass die Bedrohungslage weitaus niedriger anzusetzen sei. In den Sicherheitsmeldungen zu den ersten vier CVE-Einträgen zu den Pufferüberläufen in mstolfp.c schreiben sie: "Vernachlässigbare Sicherheitsauswirkungen, betrifft nur ntpq CLI und Testsuite". Bezüglich der Treiberlücke kommen sie zum Schluss, sie sei ein "kleines Problem; betrifft nur den Uhrentreiber für den Trimble Palisade GPS-Empfänger".

Einer der Diskutierenden namens Martin Burnicki gibt auf Github an, Kontakte zum NTP-Team zu haben. Es habe demnach Kenntnis von den Lücken und arbeite daran. Die Lücken seien nicht schwer zu beheben, mit einer Aktualisierung könne wahrscheinlich in Kürze zu rechnen sein.

NTP-Team schätzt Risiko gering ein

Inzwischen hat sich auch Harlan Stann, seines Zeichens Product Manager beim NTP-Projekt, zu Wort gemeldet und liefert eine ähnliche Einschätzung. Es seien zuvor bösartige Änderungen an einer ntpd-Instanz nötig, die manipulierte Daten empfangen und an einen ntpq-Prozess durchreichen muss, um die Schwachstelle zu missbrauchen. Auch die Treiber-Schwachstelle sei im Lichte von Max' Einschätzung zur Verbreitung als "mild" einzustufen.

Eine Antwort des BSI bezüglich der Einschätzung der Schwachstellen auf eine Anfrage von heise online steht noch aus. Aufgrund der vorliegenden Experten-Einschätzungen dürfte die IT-Sicherheitsbehörde ihre Einstufung ebenfalls anpassen.

Wer nach der gestrigen Warnung zur Sicherheit die ntp-Dienste offline genommen hat, kann sie spätestens nach dem Anwenden der vermutlich in Kürze erscheinenden Aktualisierungen wieder aktivieren. Da es sich aus gestriger Sicht um kritische Zero-Day-Lücken handelte, war die Sicherheitsmaßnahme dennoch gerechtfertigt: "Sicher ist sicher!"

(dmk)