12.04.2023 18:36
Update: Potentielle RCE-Bugs in ntpd - keine Patches verfügbar
Update: 14. April 2023
Es scheint sich herauszukristallisieren, dass die Probleme nicht in gängigen Setups ausnutzbar sind, und v.a. das Commandline-Tool ntpq betreffen (und den Treiber für einen älteren GPS-Empfänger). Mehr dazu lässt sich bei heise Security nachlesen.
Das BSI hat eine Warnung über kritische Sicherheitslücken in ntpd (Open Source NTP-Implementation von ntp.org) herausgegeben. Es wurde auch PoC-Code veröffentlicht.
Da wir die Lücken nicht selbst nachstellen können, und noch keine Bestätigung dazu von dritter Seite gefunden haben, sehen wir derzeit noch von einer "offiziellen" Warnung ab.
Leute/Organisationen, die öffentlich erreichbare NTP-Server betreiben, sollten dennoch dringend darüber nachdenken, entweder das NTP-Service zu firewallen, oder (temporär) auf andere NTP-Software auszuweichen.
Meldung des BSI (es kann uU nötig sein, den Link 2x zu öffen): https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0938
Meldung über die BSI-Meldung bei heise Security: https://heise.de/-8948528