Ich habe NTP 4.2.6p5 auf meinem CentOS 7.5 installiert. Aufgrund der Sicherheitslücke „Network Time Protocol Multiple Security Vulnerabilities“ muss ich es auf die neueste Version NTP 4.2.8p13 aktualisieren.
Jetzt besteht das Problem darin, dass ich die neueste verfügbare Version nicht finden kann yum whatprovides.
[root@6ef77e1541c7 ~]# yum whatprovides ntp
ntp-4.2.6p5-28.el7.centos.x86_64 : The NTP daemon and utilities
Repo : base
Hat jemand eine Idee, wie ich NTP auf die neueste Version 4.2.8p13 aktualisiere, um diese Sicherheitslücke zu beheben?
BEARBEITEN-1
Ich habe die neueste NTP-Version aus der Quelle installiert, bin mir aber nicht sicher, wie ich die Dienste starte, wenn sie aus der Quelle installiert ist.
Außerdem habe ich alte RPM-Pakete entfernt.
BEARBEITEN-2
CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-
2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-
2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-
2015-7702
Antwort1
Sie sollten wirklich einfach das Paket von CentOS verwenden. Es enthält alle Backport-Fixes und CentOS wird weiterhin Sicherheitsupdates beheben, im Gegensatz zu Ihrer Build-from-Source-Lösung, die jedes Mal neu erstellt werden muss, wenn NTP ein weiteres CVE veröffentlicht.
Wenn Sie einfach „yum update ntp“ ausführen, erhalten Siealle folgenden CVEs behoben. Wer Ihnen sagt, dass diese CVEs nicht behoben sind, sollte sich diese Seite ebenfalls ansehen. Zu vielen von ihnen sagt Redhat, dass das NTP-Paket in el7 nicht einmal betroffen ist.
Vertrauen Sie den Sicherheitsprüfern nicht blind, meist sind es nur Leute, die darin geschult wurden, ein Tool auf einem Windows-Computer auszuführen (Sie können froh sein, wenn sie überhaupt etwas über Linux wissen) und die Ergebnisse nachplappern und kein tieferes Verständnis davon haben, wie ein Enterprise-Linux-Betriebssystem funktioniert. Redhat (und später CentOS) portiert Sicherheitsfixes auf eine stabile Version eines Pakets zurück. Die Pflege Ihres eigenen Builds der neuesten Version ist eigentlichmehreines Sicherheitsrisikos, da Sie es jetzt jedes Mal neu erstellen müssen, wenn ein Sicherheitsfix vorliegt.
EDIT: Bitte weisen Sie auch Ihre Sicherheitsprüfer oder jeden, der Ihnen sagt, dass Sie NTP auf die neueste Version aktualisieren sollen, an, Folgendes zu lesen:Redhats Diskussion über Backports
.
Antwort2
Aus Stabilitätsgründen und zur schnellen Konvergenz und Zeitwartung zwischen vielen Hosts habe ich chrony statt ntp verwendet. Tatsächlich glaube ich, dass chrony ab RHEL/Centos 7.x das primäre Netzwerkzeitpaket ist, das standardmäßig bereitgestellt wird.
Zu Ihrem Punkt: Wenn Sie mit Ihrer Distribution synchron bleiben möchten, können Sie einfach warten, bis der Anbieter eine neue Version herausbringt. Im Fall von RHEL/Centos ändert sich die auf dem Paket aufgeführte primäre Version während der Lebensdauer der Hauptrevision des Punktesystems im Allgemeinen überhaupt nicht. Was passiert, ist, dass Patches zurückportiert werden und die -# die Änderung widerspiegelt. Obwohl Ihr Paketinventar also eine Version anzeigt, könnte es durchaus auf die aktuelle Version aktualisiert worden sein. Dies macht es für Administratoren schwierig, bestimmte Versionsnummern eines Pakets global zu überprüfen und zu vergleichen.
Wenn Sie wirklich, wirklich auf die neue Version aktualisieren möchten, können Sie das Quellpaket herunterladen und es als Grundlage für den Wechsel zur neuen Version verwenden. Ich musste dies für einige Pakete tun, die kritisch waren ... es ist nicht allzu schwer, aber Sie müssen alle bereits vorhandenen Patches durchgehen.