URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 107759
[ Назад ]

Исходное сообщение
"В NTP 4.2.8p7 устранено 11 уязвимостей"

Отправлено opennews , 30-Апр-16 19:55 
Доступен (http://www.ntp.org/downloads.html) корректирующий выпуск сервера для синхронизации точного времени NTP 4.2.8p7, в котором устранено 11 уязвимостей (http://support.ntp.org/bin/view/Main/SecurityNotice#April_20...), большинство из которых выявлено (http://blog.talosintel.com/2016/04/vulnerability-spotlight-f...) в процессе аудита, проведённого компанией Cisco. Уязвимостям присвоен средний или низкий уровень опасности из-за специфичных условий эксплуатации (например, отсутствие блокировки спуфинга UDP-пакетов).


Уязвимости могут привести к блокированию работы сервера, краху процесса ntpd, нарушению нормальной синхронизации времени или изменению установленного на сервере/клиенте времени. Обновления  уже выпущены для FreeBSD (https://lists.freebsd.org/pipermail/freebsd-announce/2016-Ap...), но пока недоступны для дистрибутивов Linux (Debian (https://security-tracker.debian.org/tracker/CVE-2016-2516), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2...), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-2516)).


URL: http://blog.talosintel.com/2016/04/vulnerability-spotlight-f...
Новость: http://www.opennet.me/opennews/art.shtml?num=44353


Содержание

Сообщения в этом обсуждении
"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 30-Апр-16 19:55 
А сколько уязвимостей в ntp-сервере cisco ios? Кто о них расскажет и пофиксит?

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 30-Апр-16 20:22 
Да хоть негрософт, нечего стенаться, не из твоего кармана.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 11:59 
> Да хоть негрософт, нечего стенаться, не из твоего кармана.

А из чьего-же кармана, дубина? Торгаши их дарят штоли направо-налево?


"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено zanswer , 30-Апр-16 21:26 
Cisco Systems очевидно, если SMART NET оформлен, хотя security bulletin публикуется по IOS же.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 11:58 
А как насчёт сертифицированного фстеком роутера, для которого ни обновлений, ни секурети булетина?

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено askh , 01-Май-16 13:55 
> А как насчёт сертифицированного фстеком роутера, для которого ни обновлений, ни секурети булетина?

Ты так пишешь, будто бы сертификация ставит целью повышение безопасности... Сертификация снижает безопасность (тормозя устранение уязвимостей), причём ты за это ещё и платишь.


"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 15:12 
В том-то и дело, что не ставит, с ней даже от циски обновлений не получишь, причём за это ещё и уплочено, да.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено zanswer , 01-Май-16 14:19 
Сертифицированный маршрутизатор использует ровно туже версию, а обновления и так не бесплатны, у нас нет SMART NET сейчас, поэтому и обновлений нет. А security bulletin доступен всем и не учитывает наличие специальной сертификации.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 15:14 
> Сертифицированный маршрутизатор использует ровно туже версию, а обновления и так не бесплатны,
> у нас нет SMART NET сейчас, поэтому и обновлений нет. А
> security bulletin доступен всем и не учитывает наличие специальной сертификации.

Сертифицированных обновлений тоже нет, а нормальный обновлённый иос отчаянный перат, который плевал на сертификацию, теоретически вероятно может скачать с торрентов.


"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено zanswer , 02-Май-16 06:44 
Ему ещё потребуются лицензии, хотя в общем случае, да, может, но, пиратство не самый лучший спутник.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 03-Май-16 00:11 
Ясно дело, в такой ситуации не катит, тупик и безвыходное положение.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено kasak , 30-Апр-16 20:41 
Юзаю OpenNTPD

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 30-Апр-16 22:45 
Ну и зря.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 19:01 
Позабавь общественность, расскажи во всех красках, почему зря?

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 02-Май-16 00:27 
Этот аутист двух слов связать не сможет, инфа 100%

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Нанобот , 01-Май-16 07:59 
Возьми с полки пирожок

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 30-Апр-16 20:52 
Такой простой и такой дырявый.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено zanswer , 30-Апр-16 21:20 
Простой? О_о

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним 80_уровня , 30-Апр-16 21:58 
Там одно описание алгоритма работы чего сто́ит.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 01:25 
Там кода на мег, с чуть ли не авторизацией в Kerberos и прочим энтерпрайзом.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено бедный буратино , 01-Май-16 00:36 
в OpenBSD даже в -stable ещё три дня назад прилетело. Хотя у нас свой замечательный openntpd есть.

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Архип , 01-Май-16 11:19 
Зато в линуксах энтузиастов и теоретиков вагон. Зачем вы их тгавите?

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 11:23 
Ваш замечательный по прежнему обсирается если разница во времени больше чем позволяет adjtime() ?

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Архип , 01-Май-16 11:37 
А ваш в систему инициализации не впилили ещё?

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 12:01 
> А ваш в систему инициализации не впилили ещё?

так то у них будет не "впилили", а "исправили фатальный недостаток и назвали systemd-networktimed"


"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 19:04 
Суть в другом,
на тезис "а у нас протечку воды уже как 3 дня назад закрыли."
всегда найвозникает опровержение "а чо, щели в сквозняки вы уже выкрыли"

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено бедный буратино , 01-Май-16 11:41 
> Ваш замечательный по прежнему обсирается если разница во времени больше чем позволяет adjtime() ?

чё?


"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 13:44 
> Ваш замечательный по прежнему обсирается если разница во времени больше чем позволяет
> adjtime() ?

http://man7.org/linux/man-pages/man3/adjtime.3.html
>  In the glibc implementation, delta must be less than or equal to (INT_MAX / 1000000 - 2) and greater than or  equal to (INT_MIN / 1000000 + 2) (respectively 2145 and -2145 seconds  on i386).

А вот тут:
http://man.openbsd.org/OpenBSD-current/man2/adjtime.2
как ни странно, ничего нет. Видимо, до уровня документации как у лапчатых опенешникам еще пилить и пилить и вообще, в проблемах опять что-то намудривших лапчатых как всегда виноваты другие.


"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 02-Май-16 20:56 
Кто же вам виноват, что у вас adjtime через одно место ...? Зато да, система инициализации размером с половину дженерик ядра, это сила!

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено Аноним , 01-Май-16 21:30 
Мажорный релиз 4.2, минорный 8, а что такое p7?

"В NTP 4.2.8p7 устранено 11 уязвимостей"
Отправлено zanswer , 02-Май-16 06:50 
Готов предположить, что это значит patch set version.