Operational Defect Database
BugZero updated this defect 41 days ago.
Data sources
All data on this page is proprietary to BugZero® or gathered from public sources
VMware | 97574
ESX/ESXi および vCenter Server Appliance における NTP DDoS 攻撃の軽減と修正 (CVE-2013-5211)
Last update date:
4/9/2024
Affected products:
vCenter Server
vSphere ESXi
Affected releases:
No affected releases provided.
Fixed releases:
No fixed releases provided.
Description:
Symptoms
免責事項: これは英文の記事 「Mitigation and Remediation for NTP DDoS attack in ESX/ESXi and vCenter Server Appliance (CVE-2013-5211) (2070193)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。 CVE-2013-5211 で説明されている NTP Distributed Denial of Service (DDoS) 増幅攻撃が、ESX/ESXi および vCenter Server Appliance (VCSA) に影響する可能性がある。 ESX 4.x:NTP サービス自体は影響を受けますが、手動で有効にして、デフォルトのファイアウォール構成をホストが脆弱になるように修正する必要があります。 ESXi 4.x:NTP サービス自体は影響を受けますが、手動で有効にする必要があります。 ESXi 5.x:NTP サービス自体は影響を受けますが、手動で有効にして、デフォルトのファイアウォール構成をホストが脆弱になるように修正する必要があります。 VCSA 5.x:NTP サービス自体は影響を受けますが、それは時刻の同期に Active Directory ではなく NTP を使用するようにアプライアンスが手動で構成されている場合のみです。 この記事の Resolution セクションに記載されている軽減および修正措置を実装することをお勧めします。注:VMware では、ESX、ESXi、または VCSA をパブリック インターネットにデプロイしないよう、強くお勧めしています。
Purpose
この記事には、CVE-2013-5211 で説明されている DDoS 増幅攻撃、および VMware 製品に対するその影響についての情報が記載されています。注:この記事で説明されている軽減の情報は、以前「Timekeeping best practices for Linux guests (1006427)」で公開されたものです。
Resolution
この問題は、お使いの対応する製品で ntp.conf ファイルに次の行を追加することにより、ただちに軽減できます。 restrict default kod nomodify notrap nopeer noqueryrestrict -6 default kod nomodify notrap nopeer noqueryrestrict 127.0.0.1restrict -6 ::1 NTP をパブリック向けに使用する組織上の理由がない場合は、ネットワーク ペリメータで、ポート 123 の受信 UDP 要求がブロックされる可能性があります。管理ネットワーク トラフィックを分離するのも、この問題を軽減するもう 1 つの方法です。この問題の修正は、「VMware Security Advisory VMSA-2014-0002」に記載されています。
Related Information
関連する情報については、次の項目を参照してください。 Vulnerability Summary for CVE-2013-5211 注:上記のリンクは 2014 年 3 月 17 日時点のものです。リンクが切れている場合はフィードバックをお寄せください。VMware の担当者がリンクを更新します。 Mitigation and Remediation for NTP DDoS attack in ESX/ESXi and vCenter Server Appliance (CVE-2013-5211)
