JVNVU#91176422: NTP daemon (ntpd) に複数の脆弱性
http://jvn.jp/vu/JVNVU91176422/
NTPに複数の脆弱性が存在することが公表されました。
影響のあるバージョンは4.2.8p7より前のバージョンです。
かなり影響は大きいかと思います。
既存システムNTPをソースを利用してアップデートする手順を確認してみます。
NTP Software Downloads
http://www.ntp.org/downloads.html
ソースは公式サイトよりダウンロードします。
[root@db01 ntp-4.2.8p7]# yum install libcap-devel
インストールに必要なパッケージをダウンロードします。
[root@db01 ~]# ntpd -!
ntpd 4.2.6p5
ntpd 4.2.6p5@1.2349-o Tue Apr 28 10:15:27 UTC 2015 (1)
既存のバージョンを確認します。
影響ありのバージョンですね。
[root@db01 ~]# service ntpd stop
ntpd を停止中: [ OK ]
ntpのサービスを停止します。
[root@db01 ~]# usermod -d /dev/null -s /bin/false ntp
[root@db01 ~]# mkdir -p /etc/ntp/crypto/
[root@db01 ~]# chown root:ntp /etc/ntp/crypto
[root@db01 ~]# chmod 750 /etc/ntp/crypto/
[root@db01 ~]# mkdir /var/lib/ntp/
[root@db01 ~]# chown ntp:ntp /var/lib/ntp
改めてNTP用のユーザーとディレクトリを作成します。
[root@db01 src]# wget http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8p7.tar.gz
ソースを公式よりダウンロードします。
[root@db01 src]# tar zxvf ntp-4.2.8p7.tar.gz
[root@db01 src]# chown -R root:root ntp-4.2.8p7
[root@db01 src]# cd ntp-4.2.8p7
ダウンロードしてきたソースを解凍します。
[root@db01 ntp-4.2.8p7]# ./configure CFLAGS="-O2 -march=native -mtune=atom" --sysconfdir=/etc --localstatedir=/var --enable-all-clocks --enable-parse-clocks --enable-linuxcaps --with-crypto --enable-ntp-signd
[root@db01 ntp-4.2.8p7]# make && make install
ソースのコンパイル、インストールを行ないます。
[root@db01 sbin]# cp /usr/local/sbin/ntpd /usr/sbin/ntpd
ntpのバイナリを入れ替えておきます。
[root@db01 ntp]# service ntpd start
ntpd を起動中:
[root@db01 ntp]# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
*ntp-b3.nict.go. .NICT. 1 u 1 64 1 5.009 -0.153 0.000
[root@db01 sbin]# ntpd -!
ntpd - NTP daemon program - Ver. 4.2.8p7
・
・
・
サービスを起動します。
起動後、ntpqコマンドで時刻同期していることを確認します。
ntpサーバーの先頭に*が表示されていれば同期OKです。
バージョン表記も問題有りませんでした。
http://jvn.jp/vu/JVNVU91176422/
NTPに複数の脆弱性が存在することが公表されました。
影響のあるバージョンは4.2.8p7より前のバージョンです。
かなり影響は大きいかと思います。
既存システムNTPをソースを利用してアップデートする手順を確認してみます。
NTP Software Downloads
http://www.ntp.org/downloads.html
ソースは公式サイトよりダウンロードします。
[root@db01 ntp-4.2.8p7]# yum install libcap-devel
インストールに必要なパッケージをダウンロードします。
[root@db01 ~]# ntpd -!
ntpd 4.2.6p5
ntpd 4.2.6p5@1.2349-o Tue Apr 28 10:15:27 UTC 2015 (1)
既存のバージョンを確認します。
影響ありのバージョンですね。
[root@db01 ~]# service ntpd stop
ntpd を停止中: [ OK ]
ntpのサービスを停止します。
[root@db01 ~]# usermod -d /dev/null -s /bin/false ntp
[root@db01 ~]# mkdir -p /etc/ntp/crypto/
[root@db01 ~]# chown root:ntp /etc/ntp/crypto
[root@db01 ~]# chmod 750 /etc/ntp/crypto/
[root@db01 ~]# mkdir /var/lib/ntp/
[root@db01 ~]# chown ntp:ntp /var/lib/ntp
改めてNTP用のユーザーとディレクトリを作成します。
[root@db01 src]# wget http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8p7.tar.gz
ソースを公式よりダウンロードします。
[root@db01 src]# tar zxvf ntp-4.2.8p7.tar.gz
[root@db01 src]# chown -R root:root ntp-4.2.8p7
[root@db01 src]# cd ntp-4.2.8p7
ダウンロードしてきたソースを解凍します。
[root@db01 ntp-4.2.8p7]# ./configure CFLAGS="-O2 -march=native -mtune=atom" --sysconfdir=/etc --localstatedir=/var --enable-all-clocks --enable-parse-clocks --enable-linuxcaps --with-crypto --enable-ntp-signd
[root@db01 ntp-4.2.8p7]# make && make install
ソースのコンパイル、インストールを行ないます。
[root@db01 sbin]# cp /usr/local/sbin/ntpd /usr/sbin/ntpd
ntpのバイナリを入れ替えておきます。
[root@db01 ntp]# service ntpd start
ntpd を起動中:
[root@db01 ntp]# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
*ntp-b3.nict.go. .NICT. 1 u 1 64 1 5.009 -0.153 0.000
[root@db01 sbin]# ntpd -!
ntpd - NTP daemon program - Ver. 4.2.8p7
・
・
・
サービスを起動します。
起動後、ntpqコマンドで時刻同期していることを確認します。
ntpサーバーの先頭に*が表示されていれば同期OKです。
バージョン表記も問題有りませんでした。