У меня установлен NTP 4.2.6p5 на CentOS 7.5. Из-за уязвимости "Network Time Protocol Multiple Security Vulnerabilities" мне нужно обновить его до последней версии NTP 4.2.8p13.
Теперь проблема в том, что я не могу найти последнюю доступную версию с помощью yum whatprovides.
[root@6ef77e1541c7 ~]# yum whatprovides ntp
ntp-4.2.6p5-28.el7.centos.x86_64 : The NTP daemon and utilities
Repo : base
Есть ли у кого-нибудь идеи, как обновить NTP до последней версии 4.2.8p13, чтобы исправить эту уязвимость?
ПРАВКА-1
Я установил последнюю версию NTP из исходного кода, но не уверен, как запустить службы, если она установлена из исходного кода.
Также я удалил старые пакеты rpm.
РЕДАКТИРОВАТЬ-2
CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-
2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-
2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-
2015-7702
решение1
Вам действительно следует просто использовать пакет из CentOS. Он содержит все бэкпортированные исправления, и CentOS продолжит исправлять обновления безопасности, в отличие от вашего решения сборки из исходного кода, которое нужно будет пересобирать каждый раз, когда NTP публикует очередную CVE.
Если вы просто запустите «yum update ntp», вы получитевсе следующие CVE рассмотрены. Тот, кто говорит вам, что эти CVE не устранены, должен также посмотреть эту страницу. Redhat утверждает, что для многих из них пакет ntp в el7 даже не затронут.
Не верьте слепо аудиторам безопасности, чаще всего это просто люди, которых обучили запускать инструмент на компьютере с Windows (вам повезет, если они вообще знают о Linux) и повторять результаты, не имея глубокого понимания того, как работает корпоративная ОС Linux. Redhat (и впоследствии CentOS) переносит исправления безопасности в стабильную версию пакета. Поддержание собственной сборки последней версии на самом делеболеериска безопасности, поскольку теперь вам придется перестраивать его каждый раз, когда появляется исправление безопасности.
EDIT: Также, пожалуйста, попросите своих аудиторов безопасности или кого-либо, кто советует вам обновить NTP до последней версии, прочитатьОбсуждение бэкпортов в Redhat
.
решение2
Для обеспечения стабильности, быстрой конвергенции и поддержания времени между многими хостами я использовал chrony вместо ntp. Фактически, я считаю, что с RHEL/Centos 7.x chrony является основным сетевым пакетом времени, предоставляемым по умолчанию.
Однако, если вы хотите оставаться в курсе, если вы хотите оставаться в курсе своего дистрибутива, вы можете просто подождать, пока поставщик не выпустит новую версию. В случае RHEL/Centos основная версия, указанная в пакете, как правило, не меняется вообще в течение срока действия основной ревизии системы. Происходит то, что патчи портируются обратно, и -# отражает изменение. Поэтому, хотя ваш инвентарь пакетов указывает на одну версию, он вполне может быть обновлен до текущей версии. Это затрудняет для администраторов проверку конкретных номеров версий пакета в глобальном масштабе и их сравнение.
Если вы действительно, действительно хотите обновиться до новой версии, вы можете загрузить исходный пакет и использовать его в качестве базы для перехода на новую версию. Мне пришлось сделать это для некоторых пакетов, которые были критическими... это не так уж и сложно, но вам придется прочистить все патчи, которые уже существуют.