[NIXP] Специалисты Google обнаружили уязвимости в Network Time Protocol

[Dmitry Shurupov]

Одним из последних проектов с открытым исходным кодом, где обнаружили несколько уязвимостей, стал Network Time Protocol (NTP). Network Time Protocol (NTP) — это протокол для синхронизации локального времени по сети. NTP один из старейших протоколов, он разработан в 1985 году и продолжает развиваться. Теперь — Нил Мехта (Neel Mehta) и Стивен Роэтгер (Stephen Roettger) — исследователи из команды безопасности Google нашли уязвимости (ICSA-14-353-01) и в нём. Угрозе подвержены проекты, использующие NTP до версии 4.2.8. Выявленные уязвимости могут быть использованы удалённо, ICS-CERT указывает — для эксплуатации достаточно низкой квалификации атакующего. При этом эксплуатация позволяет злоумышленникам выполнить произвольный код с привилегиями демона ntpd. Среди уязвимостей Network Time Protocol называются недостаточная энтропия, использование криптографически слабого PNRG, переполнения буфера в стеке и отсутствующие возвраты при ошибках. Подробнее на сайте ICS-CERT.


оригинал на www.nixp.ru

[/dev/random]

А можно не смешивать в одну кучу сам протокол и одну из его реализаций?

[MrClon]

А можно не смешивать в одну кучу сам протокол и одну из его реализаций?

Иш чего захотел.

[Stauffenberg]

А можно не смешивать в одну кучу сам протокол и одну из его реализаций?

По-моему, это еще один повод перейти на Убунту.

[azsx]

Stauffenberg не понимаю, а почему это повод перейти на убунту?
Правильно ли я понимаю, что опять надо обновляться? А как проверить, что вот - накатилось какое надо обновление?

[/dev/random]

Правильно ли я понимаю, что опять надо обновляться? А как проверить, что вот - накатилось какое надо обновление?

Если ваш дистрибутив не против включать в обновления новые версии программ, то это 4.2.8. Если же он только бэкпортирует исправления, то следите за уведомлениями безопасности. Там должны сообщить, какая версия исправляет CVE-2014-9295.

[MrClon]

В штабильном дебиане пришли обновления на пакеты ntp (4.2.6.p5+dfsg-2) и ntpdate (4.2.6.p5+dfsg-2)

Stauffenberg не понимаю, а почему это повод перейти на убунту?

Всё что угодно это ещё один повод перейти на убунту.

[Stauffenberg]

Stauffenberg не понимаю, а почему это повод перейти на убунту?

Это не повод переходить на Ubuntu. Это такой сарказм, если хотите, намекающий на то, что подобные ошибки, о которых упомянул уважаемый /dev/random, для 95% пользователей Ubuntu и не ошибки вовсе.