Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diesen mittwoch vor einer kritischen Lücke in der Referenzimplementierung des Network Time Protocol-Servers NTP gewarnt. Bei der Analyse kommen IT-Experten etwa von SUSE allerdings zu anderen Ergebnissen als der Entdecker der Schwachstellen und das BSI. Zwar existiert diese Lücke, soll aber nicht so gravierend sein. Laut Berichten sollen die NTP-Maintainer auch begonnen haben, an Sicherheitsupdates zu arbeiten.

Vor einem Monat hatte der Entdecker der Lücken mit dem Kürzel spwpun eigenen Angaben zufolge die NTP-Group auf einer alten Security-Mail-Adresse kontaktiert, jedoch keine Antwort erhalten. In der Diskussion auf Github bittet er darum, seine Ergebnisse zu überprüfen. Da er zu wenig Expertenwissen diesbezüglich besitze, könne seine Einstufung falsch sein.

Laut Reinhard Max, unter anderem der Maintainer des SUSE-NTP-Pakets, hatte dies bereits zuvor getan und kommt zu einer abweichenden Einschätzung. Nicht der Server ntpd soll von den ersten vier Sicherheitsmeldungen betroffen sein, sondern libntp, die lediglich vom Kommandozeilentool ntpq genutzt werde. Ein Treiber für recht alte GPS-Hardware, die kaum mehr zum Einsatz kommen dürfte, ist von der fünften Lücke betroffen. Auch die Debian-IT-Experten kommen zu dieser Einschätzung.

Vermutlich wird das NTP-Team in Kürze eine Aktualisierung dazu veröffentlichen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE