無料Linux入門マニュアル無料ダウンロード
今だけ2,200円のLinux入門PDFマニュアルが【数量限定】で無料ダウンロードできます。
Linux入門マニュアル無料ダウンロードはこちらをクリック
ネットワーク経由で時刻調整を行うntpdに複数の脆弱性が発見されています。
今回は、ntpdの脆弱性アップデート手順を紹介します。
■関連情報
Network Time Protocol daemon (ntpd) に複数の脆弱性
ntpd 脆弱性におけるパッケージのアップデートについて
今回対応できる脆弱性は下記になります。
・スプーフィングによる認証回避 (CWE-290) - CVE-2014-9298
ソースアドレスを IPv6 アドレス ::1 に偽装されると、ACL による制限を回避される可能性があります。
・プログラムの異常状態や例外条件を適切に検査しない (CWE-754) - CVE-2014-9297
ntp_crypto.c において拡張フィールドの長さ (vallen) の値が正しく検証されていないため、
情報漏えいやプログラムの異常終了が発生する可能性があります。
・PRNG における不十分なエントロピー (CWE-332) - CVE-2014-9293
ntp.conf ファイルで auth key が設定されていない場合、暗号強度の不十分なデフォルト鍵が生成されます。
・暗号における脆弱な PRNG の使用 (CWE-338) - CVE-2014-9294
4.2.7p230 より前のバージョンの ntp-keygen は、弱いシード値で暗号論的に
不適切な乱数生成器を使い、対称鍵を生成します。
・スタックバッファオーバーフロー (CWE-121) - CVE-2014-9295
ntpd の crypto_recv() (autokey 認証利用時)、ctl_putdata()、および configure() には、
細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在します。
・エラー条件、戻り値、状態コード (CWE-389) - CVE-2014-9296
ntpd において特定のエラー処理を行うコードに return 式が存在しない箇所が存在するため、
エラー発生時に処理が停止しない問題があります。
[root@Tiger ~]# cat /etc/redhat-release
CentOS release 6.5 (Final)
※アップデート実施環境:CentOS6.5になります。
1.ntpdのバージョンを確認します。
[root@Tiger ~]# rpm -qa | grep ntp
ntp-4.2.6p5-1.el6.centos.i686
ntpdate-4.2.6p5-1.el6.centos.i686
2.パッケージ管理システムのキャッシュをクリアします。
[root@Tiger ~]# yum clean all
3.ntpdのアップデート実施
[root@Tiger ~]# yum update ntp
4.アップデート後のntpdバージョンを確認します。
[root@Tiger ~]# rpm -qa | grep ntp
ntp-4.2.6p5-2.el6.centos.i686
ntpdate-4.2.6p5-2.el6.centos.i686
※CnetOSのバージョン毎にntpdがアップデートされていれば問題ありません。
CentOS 5: ntp-4.2.2p1-18.el5.centos
CentOS 6: ntp-4.2.6p5-2.el6.centos
CentOS 7: ntp-4.2.6p5-19.el7.centos
5.ntpdを再起動します。
[root@Tiger ~]# service ntpd restart
無料Linux入門マニュアル無料ダウンロード
今だけ2,200円のLinux入門PDFマニュアルが【数量限定】で無料ダウンロードできます。
Linux入門マニュアル無料ダウンロードはこちらをクリック
<<関連記事>>
・RHEL7/CentOS7が重要カーネルセキュリティアップデートをリリース【CVE-2019-14821/CVE-2019-15239】
・PostgreSQL 12が公開と2019年10月データベース人気ランキング
・CentOS8とCentOS7の違い、変更点のまとめ
・Apacheに脆弱性(CVE-2017-9798)、メモリから情報漏えいの恐れ
・Apache Tomcat の複数の脆弱性に対するアップデート(CVE-2017-7674、CVE-2017-7675)
- 次のページへ:ntpdに複数の脆弱性
- 前のページへ:Linux GNU Cライブラリ(glibc)に深刻なセキュリティホール「GHOST」(CVE-2015-0235)
- この記事の属するカテゴリ:Linux情報・技術・セキュリティへ戻る