JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は3月27日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#95549222: NTP.org の ntpd に複数の脆弱性」において、ntpdが抱える複数の脆弱性について伝えた。 脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- ntp-4.2.8p10よりも前のバージョン
- ntp-4.3.0からntp-4.3.93までのバージョン
上記のバージョンには、「NTP Bug 3361」「NTP Bug 3377」「NTP Bug 3378」「NTP Bug 3379」「NTP Bug 3382」「NTP Bug 3383」「NTP Bug 3384」「NTP Bug 3387」「NTP Bug 3388」「NTP Bug 3389」の脆弱性が含まれている。
既にこれらの脆弱性を修正したバージョン「ntp-4.2.8p10」がリリースされているので、NTP Project が提供する情報をもとにバージョンアップすることが推奨される。
これら脆弱性を悪用されると、サービス運用妨害の攻撃を受ける可能性があるとされている。ntpdはインターネットを経由して精確な時刻情報を取得するためのソフトウェア。多くのサーバで動作しているが、たびたび脆弱性が発見されるソフトウェアになってきている。