Доступен (http://www.ntp.org/downloads.html) корректирующий выпуск сервера для синхронизации точного времени NTP 4.2.8p7, в котором устранено 11 уязвимостей (http://support.ntp.org/bin/view/Main/SecurityNotice#April_20...), большинство из которых выявлено (http://blog.talosintel.com/2016/04/vulnerability-spotlight-f...) в процессе аудита, проведённого компанией Cisco. Уязвимостям присвоен средний или низкий уровень опасности из-за специфичных условий эксплуатации (например, отсутствие блокировки спуфинга UDP-пакетов).
Уязвимости могут привести к блокированию работы сервера, краху процесса ntpd, нарушению нормальной синхронизации времени или изменению установленного на сервере/клиенте времени. Обновления уже выпущены для FreeBSD (https://lists.freebsd.org/pipermail/freebsd-announce/2016-Ap...), но пока недоступны для дистрибутивов Linux (Debian (https://security-tracker.debian.org/tracker/CVE-2016-2516), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2...), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-2516)).
URL: http://blog.talosintel.com/2016/04/vulnerability-spotlight-f...
Новость: http://www.opennet.me/opennews/art.shtml?num=44353
А сколько уязвимостей в ntp-сервере cisco ios? Кто о них расскажет и пофиксит?
Да хоть негрософт, нечего стенаться, не из твоего кармана.
> Да хоть негрософт, нечего стенаться, не из твоего кармана.А из чьего-же кармана, дубина? Торгаши их дарят штоли направо-налево?
Cisco Systems очевидно, если SMART NET оформлен, хотя security bulletin публикуется по IOS же.
А как насчёт сертифицированного фстеком роутера, для которого ни обновлений, ни секурети булетина?
> А как насчёт сертифицированного фстеком роутера, для которого ни обновлений, ни секурети булетина?Ты так пишешь, будто бы сертификация ставит целью повышение безопасности... Сертификация снижает безопасность (тормозя устранение уязвимостей), причём ты за это ещё и платишь.
В том-то и дело, что не ставит, с ней даже от циски обновлений не получишь, причём за это ещё и уплочено, да.
Сертифицированный маршрутизатор использует ровно туже версию, а обновления и так не бесплатны, у нас нет SMART NET сейчас, поэтому и обновлений нет. А security bulletin доступен всем и не учитывает наличие специальной сертификации.
> Сертифицированный маршрутизатор использует ровно туже версию, а обновления и так не бесплатны,
> у нас нет SMART NET сейчас, поэтому и обновлений нет. А
> security bulletin доступен всем и не учитывает наличие специальной сертификации.Сертифицированных обновлений тоже нет, а нормальный обновлённый иос отчаянный перат, который плевал на сертификацию, теоретически вероятно может скачать с торрентов.
Ему ещё потребуются лицензии, хотя в общем случае, да, может, но, пиратство не самый лучший спутник.
Ясно дело, в такой ситуации не катит, тупик и безвыходное положение.
Юзаю OpenNTPD
Ну и зря.
Позабавь общественность, расскажи во всех красках, почему зря?
Этот аутист двух слов связать не сможет, инфа 100%
Возьми с полки пирожок
Такой простой и такой дырявый.
Простой? О_о
Там одно описание алгоритма работы чего сто́ит.
Там кода на мег, с чуть ли не авторизацией в Kerberos и прочим энтерпрайзом.
в OpenBSD даже в -stable ещё три дня назад прилетело. Хотя у нас свой замечательный openntpd есть.
Зато в линуксах энтузиастов и теоретиков вагон. Зачем вы их тгавите?
Ваш замечательный по прежнему обсирается если разница во времени больше чем позволяет adjtime() ?
А ваш в систему инициализации не впилили ещё?
> А ваш в систему инициализации не впилили ещё?так то у них будет не "впилили", а "исправили фатальный недостаток и назвали systemd-networktimed"
Суть в другом,
на тезис "а у нас протечку воды уже как 3 дня назад закрыли."
всегда найвозникает опровержение "а чо, щели в сквозняки вы уже выкрыли"
> Ваш замечательный по прежнему обсирается если разница во времени больше чем позволяет adjtime() ?чё?
> Ваш замечательный по прежнему обсирается если разница во времени больше чем позволяет
> adjtime() ?http://man7.org/linux/man-pages/man3/adjtime.3.html
> In the glibc implementation, delta must be less than or equal to (INT_MAX / 1000000 - 2) and greater than or equal to (INT_MIN / 1000000 + 2) (respectively 2145 and -2145 seconds on i386).А вот тут:
http://man.openbsd.org/OpenBSD-current/man2/adjtime.2
как ни странно, ничего нет. Видимо, до уровня документации как у лапчатых опенешникам еще пилить и пилить и вообще, в проблемах опять что-то намудривших лапчатых как всегда виноваты другие.
Кто же вам виноват, что у вас adjtime через одно место ...? Зато да, система инициализации размером с половину дженерик ядра, это сила!
Мажорный релиз 4.2, минорный 8, а что такое p7?
Готов предположить, что это значит patch set version.