2018年4月20日 (初版)
TAC SR Collection |
主な問題 |
NX-OSのアップグレード後から、NTP Control Mode (mode 6) Packet や NTP Private Mode (mode 7) Packet を破棄したことを示す下記のログが出力されることがあります。
%DAEMON-3-SYSTEM_MSG: NTP Receive dropping message: Received NTP control mode packet. Drop count: XX - ntpd[XXXX]
%DAEMON-3-SYSTEM_MSG: NTP Receive dropping message: Received NTP private mode packet. Drop count: XX - ntpd[XXXX]
|
原因 |
本ログは、 NTP の脆弱性 CVE-2013-5211 の対策のための CSCum52148 の改修により出力されるようになったログとなります。
CSCum52148 が改修済みの NX-OS バージョンではデフォルト設定で no ntp allow control コマンドと no ntp allow private コマンドが設定されており、NTP の脆弱性 CVE-2013-5211 の攻撃に利用される NTP Control Mode (mode 6) Packet と NTP Private Mode (mode 7) Packet を受信するとそれらのパケットを破棄し、その際に本ログが出力されるようになっています。
|
解決策 |
ntp allow control コマンドと ntp allow private コマンドを設定して、NTP Control Mode (mode 6) Packet と NTP Private Mode (mode 7) Packet を受信できるようにすることにより、本ログは出力されなくなります。
しかし、本設定を行った場合、NTP の脆弱性 CVE-2013-5211 に該当する攻撃の影響を受ける可能性がありますので、ご留意ください。
|
備考
本不具合は、Bug Search Tool でも確認できます。