製品・ソフトウェアに関する情報
脆弱性検索
NTP の ntpd の ntp_request.c 内の monlist 機能におけるサービス運用妨害 (DoS) の脆弱性
タイトル NTP の ntpd の ntp_request.c 内の monlist 機能におけるサービス運用妨害 (DoS) の脆弱性
概要

NTP の ntpd の ntp_request.c 内の monlist 機能には、サービス運用妨害 (トラフィック増幅) 状態にされる脆弱性が存在します。 本脆弱性への攻撃が 2013 年 12 月に観測されています。 補足情報 : CWE による脆弱性タイプは、CWE-406: ネットワークメッセージ量の不十分な制御 (ネットワーク増幅) と識別されています。 http://cwe.mitre.org/data/definitions/406.html

想定される影響 第三者により、偽造された (1) REQ_MON_GETLIST または (2) REQ_MON_GETLIST_1 リクエストを介して、サービス運用妨害 (トラフィック増幅) 状態にされる可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2013年12月30日0:00
登録日 2014年1月7日17:19
最終更新日 2016年2月1日14:54
CVSS2.0 : 警告
スコア 5
ベクター AV:N/AC:L/Au:N/C:N/I:N/A:P
影響を受けるシステム
NTP Project
NTP 4.2.7p26 未満
NTP 4.2.7p26 未満
日本電気
iStorage NV7400/NV5400/NV3400シリーズ
iStorage NV7500/NV5500/NV3500シリーズ
iStorage NV7400/NV5400/NV3400シリーズ
iStorage NV7500/NV5500/NV3500シリーズ
UNIVERGE IP8800 
UNIVERGE IP8800 
UNIVERGE PFシリーズ 
UNIVERGE PFシリーズ 
日立
GR2000 
GR2000 (b_model)
GR2000 
GR2000 (b_model)
GR4000 
GR4000 
GS3000 
GS3000 
GS4000 
GS4000 
アラクサラネットワークス
AX2000Rシリーズ 
AX2000Rシリーズ 
AX2400Sシリーズ 
AX2400Sシリーズ 
AX3600Sシリーズ 
AX3600Sシリーズ 
AX3800Sシリーズ 
AX3800Sシリーズ 
AX5400Sシリーズ 
AX5400Sシリーズ 
AX6300Sシリーズ 
AX6300Sシリーズ 
AX6600Sシリーズ 
AX6600Sシリーズ 
AX6700Sシリーズ 
AX6700Sシリーズ 
AX7700Rシリーズ 
AX7700Rシリーズ 
AX7800Rシリーズ 
AX7800Rシリーズ 
AX7800Sシリーズ 
AX7800Sシリーズ 
AX8600Rシリーズ 
AX8600Rシリーズ 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2014年01月07日]
  掲載
[2014年01月15日]
  概要:内容を更新
  ベンダ情報:NetBSD (NetBSD Security Advisory 2014-002) を追加
  ベンダ情報:NTP Project (NTP Software Downloads) を追加
  CWE による脆弱性タイプ一覧:内容を更新
  参考情報:JVN (JVNVU#96176042) を追加
  参考情報:US-CERT Vulnerability Note (VU#348126) を追加
  参考情報:US-CERT Technical Cyber Security Alert (TA14-013A) を追加
[2014年01月27日]
  影響を受けるシステム:内容を更新
  ベンダ情報:株式会社インターネットイニシアティブ (NTPがDDoS攻撃の踏み台として使用される問題のSEILシリーズへの影響について) を追加
  ベンダ情報:日本電気 (NV14-001) を追加
  ベンダ情報:日立 (「NTPに関する脆弱性」のご報告) を追加
  ベンダ情報:アラクサラネットワーク (AX-VU2014-01) を追加
[2014年02月05日]
  ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
[2014年02月10日]
  影響を受けるシステム:内容を更新
[2014年02月18日]
  参考情報:US-CERT Technical Cyber Security Alert (TA14-017A) を追加
[2014年04月09日]
  影響を受けるシステム:内容を更新
[2014年05月08日]
  影響を受けるシステム:内容を更新
  ベンダ情報:オラクル (CVE-2013-5211 Input Validation vulnerability in NTP) を追加
  ベンダ情報:富士通 (TA14-013A) を追加
[2014年06月26日]
  ベンダ情報:ターボリナックス (TLSA-2014-2) を追加
[2015年08月07日]
  ベンダ情報:IBM (MIGR-5095861) を追加
  ベンダ情報:IBM (MIGR-5095892) を追加
[2016年02月01日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新		 2018年2月17日10:37
0 [2014年01月07日]
  掲載
[2014年01月15日]
  概要:内容を更新
  ベンダ情報:NetBSD (NetBSD Security Advisory 2014-002) を追加
  ベンダ情報:NTP Project (NTP Software Downloads) を追加
  CWE による脆弱性タイプ一覧:内容を更新
  参考情報:JVN (JVNVU#96176042) を追加
  参考情報:US-CERT Vulnerability Note (VU#348126) を追加
  参考情報:US-CERT Technical Cyber Security Alert (TA14-013A) を追加
[2014年01月27日]
  影響を受けるシステム:内容を更新
  ベンダ情報:株式会社インターネットイニシアティブ (NTPがDDoS攻撃の踏み台として使用される問題のSEILシリーズへの影響について) を追加
  ベンダ情報:日本電気 (NV14-001) を追加
  ベンダ情報:日立 (「NTPに関する脆弱性」のご報告) を追加
  ベンダ情報:アラクサラネットワーク (AX-VU2014-01) を追加
[2014年02月05日]
  ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
[2014年02月10日]
  影響を受けるシステム:内容を更新
[2014年02月18日]
  参考情報:US-CERT Technical Cyber Security Alert (TA14-017A) を追加
[2014年04月09日]
  影響を受けるシステム:内容を更新
[2014年05月08日]
  影響を受けるシステム:内容を更新
  ベンダ情報:オラクル (CVE-2013-5211 Input Validation vulnerability in NTP) を追加
  ベンダ情報:富士通 (TA14-013A) を追加
[2014年06月26日]
  ベンダ情報:ターボリナックス (TLSA-2014-2) を追加
[2015年08月07日]
  ベンダ情報:IBM (MIGR-5095861) を追加
  ベンダ情報:IBM (MIGR-5095892) を追加
[2016年02月01日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新		 2018年2月17日10:37
NVD脆弱性情報
CVE-2013-5211
概要

The monlist feature in ntp_request.c in ntpd in NTP before 4.2.7p26 allows remote attackers to cause a denial of service (traffic amplification) via forged (1) REQ_MON_GETLIST or (2) REQ_MON_GETLIST_1 requests, as exploited in the wild in December 2013.

公表日 2014年1月2日23:59
登録日 2021年1月26日15:45
最終更新日 2024年11月21日10:57
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:a:ntp:ntp:4.2.7:p3:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p22:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p15:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p21:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p13:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p18:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p4:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p10:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p20:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p6:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p19:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p2:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p7:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p12:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p14:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p9:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p24:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p25:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p1:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p8:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p11:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p5:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p17:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p16:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p0:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:p23:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:4.2.7:-:*:*:*:*:*:*
cpe:2.3:a:ntp:ntp:*:*:*:*:*:*:*:* 4.2.7
構成3 以上 以下 より上 未満
cpe:2.3:o:oracle:linux:6:-:*:*:*:*:*:*
cpe:2.3:o:oracle:linux:7:-:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧