teletubbieland 139 Geschrieben 13. April 2023 Melden Teilen Geschrieben 13. April 2023 Moin, das BSI hat vor der Verwendung des NTP-Servers gewarnt und pool.ntp.org genannt. Jetzt die Frage: welchen externen NTP-Server kann man denn dann verwenden? Oder ist die Empfehlung erst Mal gar keinen zu verwenden? Zitieren Link zu diesem Kommentar
Lian 2.332 Geschrieben 13. April 2023 Melden Teilen Geschrieben 13. April 2023 Danke für die Info, bitte in Zukunft mit Quellenangabe wie z.B.: https://www.heise.de/news/BSI-warnt-vor-kritischen-Zero-Day-Luecken-im-NTP-Server-8948528.html Google betreibt öffentliche NTP Server oder zum Beispiel die PTB: https://www.ptb.de/cms/en/ptb/fachabteilungen/abtq/gruppe-q4/ref-q42/time-synchronization-of-computers-using-the-network-time-protocol-ntp.html Ausführliche Listen mit Alternativen findet man im Netz. Ob diese die Lücke nicht aufweisen, steht auf einem anderen Blatt: https://gist.github.com/mutin-sa/eea1c396b1e610a2da1e5550d94b0453 VG 1 1 Zitieren Link zu diesem Kommentar
teletubbieland 139 Geschrieben 13. April 2023 Autor Melden Teilen Geschrieben 13. April 2023 Hi Lian, "Danke für die Info, bitte in Zukunft mit Quellenangabe wie z.B.:" merke ich mir Das Irritiernde dabei ist, das NTP ja das Protokoll ist und daher nicht ersichtlich war, welche Server davon nicht betroffen sind... Dass es genügend andere Server gibt, ist mir bewusst. Nur wie man herausfinden kann, welche die Sicherheitslücke nicht haben, ist die Frage. 1 Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 13. April 2023 Melden Teilen Geschrieben 13. April 2023 Ich sehe aktuell nicht, wie ein Problem eines NTP-Servers relevant sein sollte für die Sicherheit der Clients, die im Falle von Windows eine andere Implementation verwenden. Zudem betrifft der Bug libntp, könnte also auch nur den Client betreffen. (Wonach es laut Kommentaren aussieht, aber habe es nicht geprüft.) 1 Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.785 Geschrieben 13. April 2023 Beste Lösung Melden Teilen Geschrieben 13. April 2023 Moin, es geht um das Serverprodukt, das von der NTP-Organisation gepflegt wird. Das Problem besteht also nur, wenn man selbst dieses Serverprodukt einsetzt. Die Nutzung der Dienste von pool.ntp.org stellt kein Sicherheitsproblem für die Nutzer dar - außer dass evtl. eine manipulierte Zeit zurückkommt, falls diese Dienste tatsächlich mit der nicht gepatchten Version laufen sollten. Wenn du also diese Software nicht selbst einsetzt, besteht kein Handlungsbedarf. Gruß, Nils PS. die heise-Meldung ist ziemlich schlecht geschrieben. 3 3 Zitieren Link zu diesem Kommentar
teletubbieland 139 Geschrieben 13. April 2023 Autor Melden Teilen Geschrieben 13. April 2023 Danke Nils und Deinem PS stimme ich absolut zu. Zitieren Link zu diesem Kommentar
Lian 2.332 Geschrieben 13. April 2023 Melden Teilen Geschrieben 13. April 2023 vor 1 Stunde schrieb NilsK: PS. die heise-Meldung ist ziemlich schlecht geschrieben. Absolut, der kurze BSI Artikel ist da wesentlich besser. Danke für die Deine Ausführung. Bei Linux-Maschinen, die den NTP Server-Dienst (ntpd-Programm von ntp.org) nutzen oder sogar ggf. nur die Client-Komponente (statt chrony z.B.) ist ein Blick sinnvoll. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.