ELIFE眞空 ぼちぼちいきます

日常自分が忘れてしまいそうなことをクリップしています。

CentOS5 ntpをアップデートする。

 

ntpdに複数脆弱性があるとのアナウンスが出ていたので、

ntpをアップデートすることにしました。

ntpのバージョンを「4.2.8」以上にせよ。とのことなのですが、

4.2.8でパッケージを探しても見当たらず、ソースから入れるかぁ。

と検索していると、『ZDnet Japan』の記事に、使用しているOSのベンダーに問い合わせることが推奨される。とあったので、

Red Hat Customer Portal

に行ってみました。

 

f:id:enjoylifevc:20141223142531p:plain

NTPに関する記述が見つけられたので、其処を開いてみることにしました。

RHSA-2014-2025

 

CVE-2014-9293 デフォルト設定だと弱い鍵が自動で作られるよ。
CVE-2014-9294 NTP-keygenが弱い乱数を使って鍵を作っちゃうよ。
CVE-2014-9295 メモリ領域を溢れさせて、NTPをクラッシュさせたり、遠隔で任意のコードを動かすよ。

については、書かれているのですが、

CVE-2014-9296 エラー処理を行なうコードに欠陥があって、処理が停止しないよ。

 については、書かれていません。

何故だろう?

ちなみに、CentOS6,CentOS7のerrataページには、記載があるんですけどね。

 

とにかく、「ntp-4.2.2p1-18.el5」という、アップデートパッケージが用意されているようなので、ひとまず確認してみました。

yum info ntp

 

ちゃんと存在していましたので、そのままアップデートしました。

yum update ntp

 もう一度、パッケージのバージョンの確認

yum info ntp

f:id:enjoylifevc:20141223144748g:plain

因みにCentOS6だと、「ntp-4.2.6p5-2.el6」、CentOS7だと「ntp-4.2.6p5-19.el7」のようです。

自動で、再起動してくれるそうなので、暫く待って

ntpd -q

同期サーバの頭にアスタリスク(*)が付いたので、たぶんコレで大丈夫。