US-CERTは12月19日(米国時間)、「Network Time Protocol daemon (ntpd) contains multiple vulnerabilities|US-CERT」において、ネットワーク経由で時刻を同期するプロトコル「NTP」に複数の脆弱性が発見されたことを伝えた。

US-CERTによると、バージョン4.2.7以前のバージョンにバッファオーバーフローを引き起こすおそれがある脆弱性が見つかったという。この脆弱性が悪用されると、第三者が遠隔から細工を施したパケットを送りつけることで、バッファオーバーフローを引き起こし、ntpdプロセスの権限で悪質なコードを実行できてしまおそれがある。

NTP.orgは同日、これらの脆弱性を修正したバージョン「4.2.8」を公開しているので、NTPを利用している場合は速やかにバージョンアップすることが推奨される。

12月19日に最新版が公開されたNTP