The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В NTP 4.2.8p7 устранено 11 уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от opennews (??) on 30-Апр-16, 19:55 
Доступен (http://www.ntp.org/downloads.html) корректирующий выпуск сервера для синхронизации точного времени NTP 4.2.8p7, в котором устранено 11 уязвимостей (http://support.ntp.org/bin/view/Main/SecurityNotice#April_20...), большинство из которых выявлено (http://blog.talosintel.com/2016/04/vulnerability-spotlight-f...) в процессе аудита, проведённого компанией Cisco. Уязвимостям присвоен средний или низкий уровень опасности из-за специфичных условий эксплуатации (например, отсутствие блокировки спуфинга UDP-пакетов).


Уязвимости могут привести к блокированию работы сервера, краху процесса ntpd, нарушению нормальной синхронизации времени или изменению установленного на сервере/клиенте времени. Обновления  уже выпущены для FreeBSD (https://lists.freebsd.org/pipermail/freebsd-announce/2016-Ap...), но пока недоступны для дистрибутивов Linux (Debian (https://security-tracker.debian.org/tracker/CVE-2016-2516), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2...), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-2516)).


URL: http://blog.talosintel.com/2016/04/vulnerability-spotlight-f...
Новость: http://www.opennet.me/opennews/art.shtml?num=44353

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +1 +/
Сообщение от Аноним (??) on 30-Апр-16, 19:55 
А сколько уязвимостей в ntp-сервере cisco ios? Кто о них расскажет и пофиксит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 30-Апр-16, 20:22 
Да хоть негрософт, нечего стенаться, не из твоего кармана.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 01-Май-16, 11:59 
> Да хоть негрософт, нечего стенаться, не из твоего кармана.

А из чьего-же кармана, дубина? Торгаши их дарят штоли направо-налево?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +1 +/
Сообщение от zanswer on 30-Апр-16, 21:26 
Cisco Systems очевидно, если SMART NET оформлен, хотя security bulletin публикуется по IOS же.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 01-Май-16, 11:58 
А как насчёт сертифицированного фстеком роутера, для которого ни обновлений, ни секурети булетина?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от askh (ok) on 01-Май-16, 13:55 
> А как насчёт сертифицированного фстеком роутера, для которого ни обновлений, ни секурети булетина?

Ты так пишешь, будто бы сертификация ставит целью повышение безопасности... Сертификация снижает безопасность (тормозя устранение уязвимостей), причём ты за это ещё и платишь.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 01-Май-16, 15:12 
В том-то и дело, что не ставит, с ней даже от циски обновлений не получишь, причём за это ещё и уплочено, да.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от zanswer on 01-Май-16, 14:19 
Сертифицированный маршрутизатор использует ровно туже версию, а обновления и так не бесплатны, у нас нет SMART NET сейчас, поэтому и обновлений нет. А security bulletin доступен всем и не учитывает наличие специальной сертификации.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 01-Май-16, 15:14 
> Сертифицированный маршрутизатор использует ровно туже версию, а обновления и так не бесплатны,
> у нас нет SMART NET сейчас, поэтому и обновлений нет. А
> security bulletin доступен всем и не учитывает наличие специальной сертификации.

Сертифицированных обновлений тоже нет, а нормальный обновлённый иос отчаянный перат, который плевал на сертификацию, теоретически вероятно может скачать с торрентов.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от zanswer on 02-Май-16, 06:44 
Ему ещё потребуются лицензии, хотя в общем случае, да, может, но, пиратство не самый лучший спутник.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

32. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 03-Май-16, 00:11 
Ясно дело, в такой ситуации не катит, тупик и безвыходное положение.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

3. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +4 +/
Сообщение от kasak on 30-Апр-16, 20:41 
Юзаю OpenNTPD
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В NTP 4.2.8p7 устранено 11 уязвимостей"  –4 +/
Сообщение от Аноним (??) on 30-Апр-16, 22:45 
Ну и зря.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

24. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +2 +/
Сообщение от Аноним (??) on 01-Май-16, 19:01 
Позабавь общественность, расскажи во всех красках, почему зря?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

27. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +1 +/
Сообщение от Аноним (??) on 02-Май-16, 00:27 
Этот аутист двух слов связать не сможет, инфа 100%
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

11. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +2 +/
Сообщение от Нанобот (ok) on 01-Май-16, 07:59 
Возьми с полки пирожок
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "В NTP 4.2.8p7 устранено 11 уязвимостей"  –3 +/
Сообщение от Аноним email(??) on 30-Апр-16, 20:52 
Такой простой и такой дырявый.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +7 +/
Сообщение от zanswer on 30-Апр-16, 21:20 
Простой? О_о
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним 80_уровня (ok) on 30-Апр-16, 21:58 
Там одно описание алгоритма работы чего сто́ит.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 01-Май-16, 01:25 
Там кода на мег, с чуть ли не авторизацией в Kerberos и прочим энтерпрайзом.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +7 +/
Сообщение от бедный буратино (ok) on 01-Май-16, 00:36 
в OpenBSD даже в -stable ещё три дня назад прилетело. Хотя у нас свой замечательный openntpd есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +2 +/
Сообщение от Архип (??) on 01-Май-16, 11:19 
Зато в линуксах энтузиастов и теоретиков вагон. Зачем вы их тгавите?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 01-Май-16, 11:23 
Ваш замечательный по прежнему обсирается если разница во времени больше чем позволяет adjtime() ?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Архип (??) on 01-Май-16, 11:37 
А ваш в систему инициализации не впилили ещё?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 01-Май-16, 12:01 
> А ваш в систему инициализации не впилили ещё?

так то у них будет не "впилили", а "исправили фатальный недостаток и назвали systemd-networktimed"

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 01-Май-16, 19:04 
Суть в другом,
на тезис "а у нас протечку воды уже как 3 дня назад закрыли."
всегда найвозникает опровержение "а чо, щели в сквозняки вы уже выкрыли"
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

15. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от бедный буратино (ok) on 01-Май-16, 11:41 
> Ваш замечательный по прежнему обсирается если разница во времени больше чем позволяет adjtime() ?

чё?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "В NTP 4.2.8p7 устранено 11 уязвимостей"  –1 +/
Сообщение от Аноним (??) on 01-Май-16, 13:44 
> Ваш замечательный по прежнему обсирается если разница во времени больше чем позволяет
> adjtime() ?

http://man7.org/linux/man-pages/man3/adjtime.3.html
>  In the glibc implementation, delta must be less than or equal to (INT_MAX / 1000000 - 2) and greater than or  equal to (INT_MIN / 1000000 + 2) (respectively 2145 and -2145 seconds  on i386).

А вот тут:
http://man.openbsd.org/OpenBSD-current/man2/adjtime.2
как ни странно, ничего нет. Видимо, до уровня документации как у лапчатых опенешникам еще пилить и пилить и вообще, в проблемах опять что-то намудривших лапчатых как всегда виноваты другие.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 02-Май-16, 20:56 
Кто же вам виноват, что у вас adjtime через одно место ...? Зато да, система инициализации размером с половину дженерик ядра, это сила!
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от Аноним (??) on 01-Май-16, 21:30 
Мажорный релиз 4.2, минорный 8, а что такое p7?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В NTP 4.2.8p7 устранено 11 уязвимостей"  +/
Сообщение от zanswer on 02-Май-16, 06:50 
Готов предположить, что это значит patch set version.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру