Vigil@nce - NTP.org : prédictibilité de ntp-keygen
juin 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut prédire certaines clés générées par
ntp-keygen de NTP.org, afin d’accéder aux ressources protégées
par ces clés.
Produits concernés : Meinberg NTP Server, NTP.org, Solaris
Gravité : 2/4
Date création : 09/04/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit NTP.org fournit l’outil ntp-keygen pour générer les
clés cryptographiques.
Cependant, si le résultat intermédiaire de la fonction gen_md5()
vaut entre 0x20 et 0x7f (sauf 0x23), alors la valeur est
répétée 20 fois. La clé générée est alors hautement
prédictible.
Un attaquant peut donc prédire certaines clés générées par
ntp-keygen de NTP.org, afin d’accéder aux ressources protégées
par ces clés.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/NTP-org-predictibilite-de-ntp-keygen-16568