审计发现NTP存在诸多漏洞 可致任意代码执行

来自德国安全公司Cure53的研究人员对网络时间协议NTP和NTPsec项目进行了为期32天的审计，发现了不少漏洞。

专家确定了共有16个与安全有关的问题，其中包括仅影响NTP的8个弱点和仅影响NTPsec的两个，这意味着NTP的安全，强化和改进。

Cure53已经针对NTP和NTPsec发布了专门的报告。其中栈溢出漏洞CVE-2017-6460影响到NTP，可在客户端请求限制列表后通过恶意服务器触发，导致崩溃或任意代码执行。

CVE-2017-6463和CVE-2017-6464都可被DoS攻击利用。

最新的Ntp-4.2.8p10修复了总共15个漏洞，其中14个是由Cure53发现的，另一个则由思科Talos上报。其中还注意到，2014年11月最初修补的缺陷在2016年11月被重新引入。