Tenho o NTP 4.2.6p5 instalado no meu CentOS 7.5. Devido à vulnerabilidade "Network Time Protocol Multiple Security Vulnerabilities", tenho que atualizá-lo para a versão mais recente do NTP 4.2.8p13.
Agora o problema é que não consigo encontrar a versão mais recente disponível usando o yum whatprovides.
[root@6ef77e1541c7 ~]# yum whatprovides ntp
ntp-4.2.6p5-28.el7.centos.x86_64 : The NTP daemon and utilities
Repo : base
Alguém tem alguma ideia de como faço para atualizar o NTP para a versão mais recente 4.2.8p13 para corrigir esta vulnerabilidade?
EDITAR-1
Instalei a versão mais recente do NTP a partir da fonte, mas não tenho certeza de como inicio os serviços quando ele é instalado a partir da fonte.
Além disso, removi pacotes rpm antigos.
EDITAR-2
CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-
2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-
2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-
2015-7702
Responder1
Você realmente deveria usar o pacote do CentOS. Ele tem todas as correções de backport e o CentOS continuará a corrigir atualizações de segurança, ao contrário de sua solução construída a partir da fonte, que precisará ser reconstruída sempre que o NTP publicar outro CVE.
Se você apenas executar “yum update ntp” você obterátodos os seguintes CVEs abordados. Quem está lhe dizendo que esses CVEs não foram abordados deve olhar essa página também. Para muitos deles, Redhat diz que o pacote ntp no el7 nem sequer é afetado.
Não acredite cegamente nos auditores de segurança, na maioria das vezes eles são apenas pessoas que foram treinadas para executar uma ferramenta em um computador Windows (você tem sorte se eles souberem sobre Linux) e repetem os resultados e não têm uma compreensão profunda de como um sistema operacional Linux empresarial funciona. Redhat (e posteriormente CentOS) faz backport de correções de segurança para uma versão estável de um pacote. Manter sua própria versão da versão mais recente é, na verdade,maisde um risco de segurança porque agora você precisa reconstruí-lo sempre que houver uma correção de segurança.
EDITAR: Além disso, oriente seus auditores de segurança ou qualquer pessoa que lhe diga para atualizar o ntp para a versão mais recente para lerDiscussão de Redhat sobre backports
.
Responder2
Para fins de estabilidade e rápida convergência e manutenção de tempo entre muitos hosts, tenho usado chrony em vez de ntp. Na verdade, acredito que do RHEL/Centos 7.x chrony é o pacote de horário de rede principal fornecido por padrão.
No entanto, se quiser ficar sincronizado com sua distribuição, basta esperar até que uma nova versão seja lançada pelo fornecedor. No caso do RHEL/Centos, a versão primária listada no pacote geralmente não muda durante a vida da revisão principal do sistema. O que acontece é que os patches são portados e o -# reflete a mudança. Portanto, embora o inventário do seu pacote indique uma versão, ele pode muito bem ser atualizado para a versão atual. Isso torna difícil para os administradores verificarem globalmente os números de versão específicos de um pacote e compará-los.
Se você realmente deseja atualizar para a nova versão, você pode baixar o pacote fonte e usá-lo como base para chegar à nova versão. Eu tive que fazer isso para alguns pacotes que eram críticos... não é tão difícil, mas você terá que eliminar todos os patches que já existem.