Journal Mises à jour NTP

Posté par . Licence CC by-sa
40
23
déc.
2014
Ce journal a été promu en dépêche : Mises à jour ntp à faire suite à la faille CVE-2014-9295.

Bonjour,

Juste un petit journal bookmark très rapide pour signaler à ceux qui seraient passés à coté de l'info : de multiples failles de sécurité ont étés identifiées et comblées dans NTP ces derniers jours.

Il s'agit de plusieurs failles avec notamment :
- Deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code par un attaquant avec les privilèges de l'utilisateur NTP.
- D'une faiblesse dans la génération des clés, il est donc conseillé de recréer ces dernières après la mise à jour dans certains cas.

Plus de détails :
http://lists.ntp.org/pipermail/announce/2014-December/000122.html
https://lists.debian.org/debian-security-announce/2014/msg00298.html

Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur de NTP mais il est préférable d'être prévenu :)

Bonnes fêtes à tous !

  • # OpenNTPD

    Posté par (page perso) . Évalué à 2.

    C'est une bonne occasion pour envisager de passer à OpenNTPD pour ceux qui ne l'ont pas encore fait.

    http://marc.info/?l=openbsd-tech&m=141903858708123&w=2

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: OpenNTPD

      Posté par (page perso) . Évalué à 10.

      Alors là je ne suis pas d'accord du tout, OpenNTPD manque cruellement de fonctionnalité basique que l'on pourrait attendre d'un client ntp qui se veut sécurisé comme par exemple pouvoir authentifier les peer sur lesquels il récupère l'heure.

      En revanche j'attend beaucoup plus de https://github.com/bsdphk/Ntimed sponsorisé par la LinuxFoundation btw.

      Plus d'info ici: http://phk.freebsd.dk/time/

      • [^] # Re: OpenNTPD

        Posté par (page perso) . Évalué à 4.

        Plus d'info ici: http://phk.freebsd.dk/time/

        Ça a l'air cool, fait par monsieur Temps en personne en plus.

        les pixels au peuple !

      • [^] # Re: OpenNTPD

        Posté par (page perso) . Évalué à 8.

        D'un autre côté, je connais pas grand monde qui authentifie les paquets NTP qu'il reçoit à ce niveau là. Outre le casse-tête de distribution de clefs, ça augmente le risque de DoS.

        Pour un client « de base », OpenNTPD me semble bien suffisant, moins bloated et disponible dans une version stable et mature.

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: OpenNTPD

      Posté par (page perso) . Évalué à 6.

      Pour un client simple, il y a également timesyncd de systemd qui est léger, mais ne fait pas serveur.

      Il s'intègre parfaitement avec systemd, et dépend de networkd par exemple.

      https://wiki.archlinux.org/index.php/Systemd-timesyncd

      • [^] # Re: OpenNTPD

        Posté par (page perso) . Évalué à -5.

        Et ça tourne sur autre chose que GNU/Linux ?

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.