Tengo NTP 4.2.6p5 instalado en mi CentOS 7.5. Debido a la vulnerabilidad "Múltiples vulnerabilidades de seguridad del protocolo de tiempo de red", tengo que actualizarlo a la última versión de NTP 4.2.8p13.
Ahora el problema es que no puedo encontrar la última versión disponible usando yum whatprovides.
[root@6ef77e1541c7 ~]# yum whatprovides ntp
ntp-4.2.6p5-28.el7.centos.x86_64 : The NTP daemon and utilities
Repo : base
¿Alguien tiene alguna idea de cómo actualizo NTP a la última versión 4.2.8p13 para solucionar esta vulnerabilidad?
EDITAR-1
Instalé la última versión de NTP desde la fuente, pero no estoy seguro de cómo inicio los servicios cuando está instalado desde la fuente.
Además, eliminé paquetes rpm antiguos.
EDITAR-2
CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-
2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-
2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-
2015-7702
Respuesta1
Realmente deberías usar el paquete de CentOS. Tiene todas las correcciones respaldadas y CentOS continuará corrigiendo las actualizaciones de seguridad, a diferencia de su solución de compilación desde el origen, que deberá reconstruirse cada vez que NTP publique otro CVE.
Si simplemente ejecuta "yum update ntp" obtendrátodos los siguientes CVE abordados. Quien le diga que esos CVE no están abordados debería mirar esa página también. Para muchos de ellos, Redhat dice que el paquete ntp en el7 ni siquiera se ve afectado.
No crea ciegamente a los auditores de seguridad, la mayoría de las veces son simplemente personas capacitadas para ejecutar una herramienta en una computadora con Windows (tiene suerte si saben algo sobre Linux) y repiten como loros los resultados y no tienen un conocimiento profundo de cómo hacerlo. un sistema operativo Linux empresarial funciona. Redhat (y posteriormente CentOS) respalda las correcciones de seguridad en una versión estable de un paquete. Mantener su propia compilación de la última versión es en realidadmásde un riesgo de seguridad porque ahora hay que reconstruirlo cada vez que hay una solución de seguridad.
EDITAR: Además, indique a sus auditores de seguridad o a cualquier persona que le indique que actualice ntp a la última versión para leerDiscusión de Redhat sobre backports
.
Respuesta2
Para fines de estabilidad y rápida convergencia y mantenimiento del tiempo entre muchos hosts, he estado usando chrony en lugar de ntp. De hecho, creo que a partir de RHEL/Centos 7.x chrony es el paquete de tiempo de red principal proporcionado de forma predeterminada.
Sin embargo, según su punto, si desea mantenerse sincronizado con su distribución, puede esperar hasta que el proveedor publique una nueva versión. En el caso de RHEL/Centos, la versión principal que figura en el paquete generalmente no cambia en absoluto durante la vida de la revisión principal del sistema. Lo que sucede es que los parches se actualizan y el -# refleja el cambio. Entonces, aunque su inventario de paquetes indica una versión, es muy posible que se actualice a la versión actual. Esto dificulta que los administradores verifiquen números de versión específicos de un paquete globalmente y los comparen.
Si realmente desea actualizar a la nueva versión, puede descargar el paquete fuente y usarlo como base para llegar a la nueva versión. Tuve que hacer esto para algunos paquetes que eran críticos... no es tan difícil, pero tendrás que eliminar todos los parches que ya existen.