Bonjour,
Juste un petit journal bookmark très rapide pour signaler à ceux qui seraient passés à coté de l'info : de multiples failles de sécurité ont étés identifiées et comblées dans NTP ces derniers jours.
Il s'agit de plusieurs failles avec notamment :
- Deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code par un attaquant avec les privilèges de l'utilisateur NTP.
- D'une faiblesse dans la génération des clés, il est donc conseillé de recréer ces dernières après la mise à jour dans certains cas.
Plus de détails :
http://lists.ntp.org/pipermail/announce/2014-December/000122.html
https://lists.debian.org/debian-security-announce/2014/msg00298.html
Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur de NTP mais il est préférable d'être prévenu :)
Bonnes fêtes à tous !
# OpenNTPD
Posté par Krunch (site web personnel) . Évalué à 2.
C'est une bonne occasion pour envisager de passer à OpenNTPD pour ceux qui ne l'ont pas encore fait.
http://marc.info/?l=openbsd-tech&m=141903858708123&w=2
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: OpenNTPD
Posté par Bapt (site web personnel) . Évalué à 10.
Alors là je ne suis pas d'accord du tout, OpenNTPD manque cruellement de fonctionnalité basique que l'on pourrait attendre d'un client ntp qui se veut sécurisé comme par exemple pouvoir authentifier les peer sur lesquels il récupère l'heure.
En revanche j'attend beaucoup plus de https://github.com/bsdphk/Ntimed sponsorisé par la LinuxFoundation btw.
Plus d'info ici: http://phk.freebsd.dk/time/
[^] # Re: OpenNTPD
Posté par Patrick Lamaizière (site web personnel) . Évalué à 4.
Ça a l'air cool, fait par monsieur Temps en personne en plus.
les pixels au peuple !
[^] # Re: OpenNTPD
Posté par Krunch (site web personnel) . Évalué à 8.
D'un autre côté, je connais pas grand monde qui authentifie les paquets NTP qu'il reçoit à ce niveau là. Outre le casse-tête de distribution de clefs, ça augmente le risque de DoS.
Pour un client « de base », OpenNTPD me semble bien suffisant, moins bloated et disponible dans une version stable et mature.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: OpenNTPD
Posté par Jiehong (site web personnel) . Évalué à 6.
Pour un client simple, il y a également timesyncd de systemd qui est léger, mais ne fait pas serveur.
Il s'intègre parfaitement avec systemd, et dépend de networkd par exemple.
https://wiki.archlinux.org/index.php/Systemd-timesyncd
[^] # Re: OpenNTPD
Posté par Krunch (site web personnel) . Évalué à -5.
Et ça tourne sur autre chose que GNU/Linux ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: OpenNTPD
Posté par Jiehong (site web personnel) . Évalué à 5.
Bien sur que non, mais là n'était pas la question.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.