Kritische Sicherheitslücke im NTP-Deamon – Raspberry Pi betroffen

“Mit nur einem Paket könnte ein Angreifer Zeit-Server mit dem NTP-Dienst übernehmen. Admins sollten das Abhilfe versprechende Update so schnell wie möglich einspielen.

Googles Security-Spezialisten Neel Mehta und Stephen Roettger haben gleich einen ganzen Schwung von Sicherheitslücken im Zeit-Server-Dienst NTP entdeckt und an dessen Entwickler gemeldet. Die Entwickler veröffentlichten am Freitag sogleich die Version 4.2.8, in der zumindest die kritischen Lücken gefixt sind.”

Heise berichtet über eine kritische Sicherheitslücke im NTP-Dienst, daher sollte das NTP-Sicherheitsupdate, vorallem wenn euer RasPi über das Internet erreichbar ist, eingespielt werden. Das gilt auch für die aktuellen Debian wheezy Distribution für den Raspberry Pi. Hier die offizielle Meldung des Projekts.

Laut Debian Mailing Liste wurde das Problem bereits anhand einer Neuen Version behoben:

For the stable distribution (wheezy), these problems have been fixed in
version 1:4.2.6.p5+dfsg-2+deb7u1.

Wir müssen also unseren kleines Raspberry Pi aktualisieren, das erledigen wir wie folgt.

sudo apt-get -y update & sudo apt-get -y upgrade

Zur Kontrolle ob auch wirklich das richtige Paket installiert wurde könnt ihr eure installierte Version mit der im Repository verfügbaren vergleichen bzw. prüfen das die in der Mailing Liste genannte Version zum Einsatz kommt “4.2.6.p5+dfsg-2+deb7u1″.  Das erledigen wir via sudo apt-cache policy ntp die Ausgabe sollte die folgt aussehen:

sudo apt-cache policy ntp

ntp:
 Installed: 1:4.2.6.p5+dfsg-2+deb7u1
 Candidate: 1:4.2.6.p5+dfsg-2+deb7u1
 Version table:
 1:4.2.6.p5+dfsg-2+deb7u1 0
 500 http://mirrordirector.raspbian.org/raspbian/ wheezy/main armhf Packages
 *** 1:4.2.6.p5+dfsg-2 0
 100 /var/lib/dpkg/status

Zur Sicherheit sollten dann noch die von NTP verwendeten Schlüssel aktualisiert werden.

ntp-keygen -M

Schöne und entspannte Feiertage!

 

mono_ntp-client


wallpaper-1019588
Winter Tollwood 2024
wallpaper-1019588
TOKYOPOP: Das sind die Boys Love- und Girls-Love-Lizenzen
wallpaper-1019588
Clevatess: Neuigkeiten zum Anime + Visual
wallpaper-1019588
The Dark History of the Reincarnated Villainess: Neuigkeiten zum Anime bekannt gegeben