現在位置: ホーム / OSSブログ / ntpd 脆弱性におけるパッケージのアップデートについて

ntpd 脆弱性におけるパッケージのアップデートについて

本記事では、ntpd で複数発見された脆弱性について、JVNのページでは分かりにくい部分がありましたため詳細を説明しています。

こんにちは。岩本です。

先日、ネットワーク経由で時刻を調整するためのプロトコルとして利用されている ntpd に、脆弱性が複数発見されました。

本脆弱性の情報が公開になって以来、RHEL または CentOS で ntpd の脆弱性に対応したパッケージにアップデートしたものの、JVN のページに記載されている情報からすると、脆弱性に対応できていないのではないか、というお問い合わせを多数いただきましたので説明します。

JVN のページ : Network Time Protocol daemon (ntpd)に複数の脆弱性 には、影響を受けるシステムとして下記のように記載されています。

ntpd 4.2.8 およびそれ以前

一方、RHEL のパッケージでこの脆弱性に対応したパッケージのバージョンは以下の通りになっています。

RHEL5 : ntp-4.2.2p1-18.el5_11
https://rhn.redhat.com/errata/RHSA-2014-2025.html
RHEL6 : ntp-4.2.6p5-2.el6_6
https://rhn.redhat.com/errata/RHSA-2014-2024.html
RHEL7 : ntp-4.2.6p5-19.el7_0
https://rhn.redhat.com/errata/RHSA-2014-2024.html

CentOS のパッケージでこの脆弱性に対応したパッケージのバージョンは以下の通りになっています。

CentOS 5: ntp-4.2.2p1-18.el5.centos
http://lists.centos.org/pipermail/centos-announce/2014-December/020851.html
CentOS 6: ntp-4.2.6p5-2.el6.centos
http://lists.centos.org/pipermail/centos-announce/2014-December/020852.html
CentOS 7: ntp-4.2.6p5-19.el7.centos
http://lists.centos.org/pipermail/centos-announce/2014-December/020850.html

JVN のページに記載されているパッケージのバージョンは、コミュニティ版のもので RHEL や CentOS のパッケージはコミュニティ版のパッケージに Red Hat社が独自にパッチを当てており、バージョン番号も独自につけられます。

今回の脆弱性に限らず、脆弱性に対応したパッケージかどうかは JVN のページだけでなく、 ディストリビューションのエラータページも確認し、アップデートしたパッケージが脆弱性に対応しているものかどうか確認する必要があります。

参考情報 : Red Hat Enterprise Linux で特別に作成されたパケットを使用した、ntp における複数のバッファーオーバーフロー問題 (CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296) の解決方法

サイオスOSSよろず相談室

サイオスOSSよろず相談室(1)

問い合わせボタン