h_i
2024年3月26日 16時43分
お世話になります。
表題の件ですが、JVNにて下記の脆弱性の報告がございます。
https://jvn.jp/vu/JVNVU93188600/
Armadillo-IoT G3を使用しており、NTPクライアントを利用して時刻同期を実施しております。
上記JVNの情報からNTPが該当し、上記脆弱性に該当すると考えております。
そこで下記のご質問がございます。
1.上記JVNの脆弱性にArmadillo-IoT G3(NTPクライアント利用)は該当しますでしょうか。
2.上記脆弱性に該当する場合、パッチの配布予定はございますでしょうか。
3.現在で対応可能な対策は考えられますでしょうか。
可能であれば、早めのご回答をお願いしたいと思っております。
at_dominique.m…
2024年3月26日 17時07分
h_iさん
お世話になっています、
マルティネです。
> 表題の件ですが、JVNにて下記の脆弱性の報告がございます。
> https://jvn.jp/vu/JVNVU93188600/
>
> Armadillo-IoT G3を使用しており、NTPクライアントを利用して時刻同期を実施しております。
> 上記JVNの情報からNTPが該当し、上記脆弱性に該当すると考えております。
この脆弱性は ntp クライアントに該当しません。
一部の UDP クライアントとサーバーの組み合わせで、メッセージを受信すると繰り返しに返事し続ける問題がありましたが、ntp の場合は CVE-2009-3563 で NTP 4.2.4p8 / 4.2.5 以降であれば修正されています。
とても古い問題ですので、Armadillo IoT G3 で使用しているクライアントはおそらくすでに修正済みのバージョンになっていると思いますが、インストールされているバージョンを確認してください。
(その記事をみると新しいループが発見されたように見えますが、詳細をみたところ ntp は対象外です。新しい情報が入ったらまた連絡しますが、全く問題ないと思われます)
よろしくお願いします。