Login
Newsletter
Werbung

Di, 3. Oktober 2017, 08:20

Software::Netzwerk

Sicherheit von freien Zeit-Servern: Chrony schlägt ntpd

Die Core Infrastructure Initiative berichtet von den in diesem Jahr durchgeführten Sicherheitsanalysen an den drei wichtigsten freien Zeit-Servern. Dabei gab es einen klaren Sieger.

Gefundene Sicherheitslücken in ntpd, NTPsec und Chrony

Core Infrastructure Initiative

Gefundene Sicherheitslücken in ntpd, NTPsec und Chrony

Die Core Infrastructure Initiative (CII) der Linux Foundation entstand als Reaktion auf den kritischen Heartbleed-Fehler in OpenSSL, um Projekte zu unterstützen, die für das Internet oder ganze Branchen kritisch sind und dringend Geld benötigen. Neben der direkten Unterstützung lässt die CII auch Sicherheitsanalysen von freien Projekten durchführen.

Die Synchronisation der Rechneruhren im Netzwerk ist eine Notwendigkeit für viele Dienste und bisweilen auch sicherheitskritisch. Die beiden wichtigsten Protokolle dafür sind das Network Time Protocol (NTP, RFC5905) und das verwandte, etwas einfachere Simple Network Time Protocol (SNTP, RFC 4330). Zahlreiche Implementationen dieser Protokolle sind im Einsatz. Die bekanntesten freien Softwareprojekte darunter sind ntpd, NTPsec und Chrony. Im Laufe dieses Jahres wurden alle drei auf Sicherheitsprobleme hin analysiert.

ntpd und NTPsec gehören zu den Projekten, die die CII bereits finanziell unterstützt hat. Nun hat sie Chrony von der Firma Cure53 analysieren lassen. Dieselbe Firma hat in diesem Jahr bereits ntpd und NTPSec untersucht, was von Mozilla im Rahmen des Secure Open Source (SOS)-Projekts finanziert wurde, welches wiederum Teil des größeren Mozilla Open Source Support Programs ist. Laut CII ist Cure53 eine Firma, deren Ergebnissen man trauen kann. Cure53 analysierte sowohl den Quellcode der Programme als auch deren Verhalten bei Angriffsversuchen.

Das Ergebnis für ntpd ist nicht erfreulich: Es wurden 12 Sicherheitslücken gefunden, davon eine mit kritischem, zwei mit hohem, eine mit mittlerem und acht mit geringerem Risiko. Dies ist zurückzuführen auf die über viele Jahre gewachsene, komplexe Codebasis, die das gesamte NTP-Protokoll abdecken und hochgradig portabel sein will. Die Fehler sind seit März 2017 weitgehend behoben, so dass ntpd nicht direkt unsicher ist, aber angesichts der Code-Komplexität und der nicht sehr hohen Qualität des Codes sind weitere Lücken nicht auszuschließen. Die ganze Analyse ist ausführlich dokumentiert (PDF).

NTPSec ist ein Fork von ntpd, der allen Ballast von ntpd loswerden und den verbleibenden Code säubern will. Doch hat dieses Projekt noch keine offizielle Version veröffentlicht und leidet teilweise an denselben Problemen wie ntpd. Cure53 zeigt sich von der Qualität der bisherigen Arbeit nicht begeistert und weist auf eine schwerwiegende Regression hin, die von den NTPSec-Entwicklern eingeschleppt wurde. Insgesamt wurden sieben Sicherheitslücken gefunden, davon drei mit hohem, eine mit mittlerem und drei mit geringerem Risiko. Der vollständige Bericht (PDF) liegt auch hier vor.

Ganz anders sieht Cure53 die Lage bei Chrony, das von Grund auf neu entwickelt wurde und NTPv4 implementiert. Das Projekt wird von Red Hat unterstützt und in den Red Hat-Produkten verwendet. Trotz aller Bemühungen konnten die Analysten nicht mehr als zwei Sicherheitslücken mit geringerem Risiko finden. Der Code von Chrony ist laut der Analyse, die ebenfalls als PDF vorliegt, sehr solide und gut strukturiert. Für alle Nutzer, die nicht den vollen Funktionsumfang von ntpd benötigen, sollte Chrony die erste Wahl sein.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung