2015年10月28日水曜日

FreeBSD 9.3 の p29 (NTP) アップデート

FreeBSD 9.3 へ p29 アップデート(1個)が到着しました。NTP に存在していた脆弱性を修正したそうです。ニセの時刻を設定したり、時刻の更新を妨げたりすることができるそうです。このアップデートで NTP が 4.2.8p4 になるそうです。
FreeBSD-SA-15:25.ntp
https://www.freebsd.org/security/advisories/FreeBSD-SA-15:25.ntp.asc

/usr/src/UPDATING の内容

20151026:       p29     FreeBSD-SA-15:25.ntp
Fix multiple NTP vulnerabilities. New NTP version is 4.2.8p4.

The configuration file syntax has been changed, thus mergemaster run is recommended.  Now the "kod" parameter requires "limited" parameter.  If the ntp.conf is not updated, the ntpd will run successfully, but with KoD disabled.

ソースツリーの更新

subversion でソースツリーを更新しました。
# svn update /usr/src
Updating '/usr/src':

/usr/src/contrib/ntp/ 以下を中心に大量の更新

U /usr/src/usr.sbin/ntp/Makefile.inc
A /usr/src/usr.sbin/ntp/doc/drivers/scripts/Makefile
U /usr/src/usr.sbin/ntp/doc/ntp.keys.5
U /usr/src/usr.sbin/ntp/doc/ntptime.8
U /usr/src/usr.sbin/ntp/libntp/Makefile
U /usr/src/usr.sbin/ntp/libparse/Makefile
U /usr/src/usr.sbin/ntp/ntpdc/Makefile
U /usr/src/usr.sbin/ntp/scripts/mkver
U /usr/src
Updated to revision 290048.

ユーザランドの再ビルド

今回のアップデートでは、ユーザランドの再ビルドが必要です。
# cd /usr/src
# make buildworld

ユーザランドのインストール

# make installworld

マシンの再起動

# reboot

/etc/ntp.conf の修正

mergemaster を使って /etc/ntp.conf の修正することを求められていますが、一方的に NTP サーバの時刻へ同期させる(server で NTP サーバを指定している)ときには、特に修正は必要なさそうです。

[追記] /etc/ntp.conf の mergemaster

念の為 mergemaster を行なってみたところ、以下のセキュリティの項目が追加されたようです。restrict の定義が追加されていました。
+# Security:
+#
+# By default, only allow time queries and block all other requests
+# from unauthenticated clients.
+#
+# See http://support.ntp.org/bin/view/Support/AccessRestrictions
+# for more information.
+#
+restrict default limited kod nomodify notrap nopeer noquery
+restrict -6 default limited kod nomodify notrap nopeer noquery
+#
+# Alternatively, the following rules would block all unauthorized access.
+#
+#restrict default ignore
+#restrict -6 default ignore
+#
+# In this case, all remote NTP time servers also need to be explicitly
+# allowed or they would not be able to exchange time information with
+# this server.

0 件のコメント:

コメントを投稿