JVNVU#91176422: NTP daemon (ntpd) に複数の脆弱性
http://jvn.jp/vu/JVNVU91176422/

NTPに複数の脆弱性が存在することが公表されました。
影響のあるバージョンは4.2.8p7より前のバージョンです。
かなり影響は大きいかと思います。
既存システムNTPをソースを利用してアップデートする手順を確認してみます。

NTP Software Downloads
http://www.ntp.org/downloads.html

ソースは公式サイトよりダウンロードします。

[root@db01 ntp-4.2.8p7]# yum install libcap-devel

インストールに必要なパッケージをダウンロードします。

[root@db01 ~]# ntpd -!
ntpd 4.2.6p5
ntpd 4.2.6p5@1.2349-o Tue Apr 28 10:15:27 UTC 2015 (1)


既存のバージョンを確認します。
影響ありのバージョンですね。

[root@db01 ~]# service ntpd stop
ntpd を停止中:                                             [  OK  ]


ntpのサービスを停止します。

[root@db01 ~]# usermod -d /dev/null -s /bin/false ntp
[root@db01 ~]# mkdir -p /etc/ntp/crypto/
[root@db01 ~]# chown root:ntp /etc/ntp/crypto
[root@db01 ~]# chmod 750 /etc/ntp/crypto/
[root@db01 ~]# mkdir /var/lib/ntp/
[root@db01 ~]# chown ntp:ntp /var/lib/ntp


改めてNTP用のユーザーとディレクトリを作成します。

[root@db01 src]# wget http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8p7.tar.gz

ソースを公式よりダウンロードします。

[root@db01 src]# tar zxvf ntp-4.2.8p7.tar.gz
[root@db01 src]# chown -R root:root ntp-4.2.8p7
[root@db01 src]# cd ntp-4.2.8p7


ダウンロードしてきたソースを解凍します。

[root@db01 ntp-4.2.8p7]# ./configure CFLAGS="-O2 -march=native -mtune=atom" --sysconfdir=/etc --localstatedir=/var --enable-all-clocks --enable-parse-clocks --enable-linuxcaps --with-crypto --enable-ntp-signd
[root@db01 ntp-4.2.8p7]# make && make install


ソースのコンパイル、インストールを行ないます。

[root@db01 sbin]# cp /usr/local/sbin/ntpd /usr/sbin/ntpd

ntpのバイナリを入れ替えておきます。

[root@db01 ntp]# service ntpd start
ntpd を起動中:
[root@db01 ntp]# ntpq  -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*ntp-b3.nict.go. .NICT.           1 u    1   64    1    5.009   -0.153   0.000

[root@db01 sbin]# ntpd -!
ntpd - NTP daemon program - Ver. 4.2.8p7





サービスを起動します。
起動後、ntpqコマンドで時刻同期していることを確認します。
ntpサーバーの先頭に*が表示されていれば同期OKです。
バージョン表記も問題有りませんでした。