устранение уязвимости ntpd

Гость

http://www.opennet.ru/opennews/art.shtml?num=41309
обновил бинарно фряху с 9.1-RELEASE-p4 amd64 до 9.3-RELEASE-p5 amd64.

Но согласно https://www.freebsd.org/security/adviso ... 31.ntp.asc и http://www.vuxml.org/freebsd/4033d826-8 ... 69bc2.html

Код: Выделить всё

Affected packages
		ntp	<	4.2.8
		ntp-devel	<	4.2.8

Код: Выделить всё

Corrected: 2014-12-23 22:54:25 UTC (releng/9.3, 9.3-RELEASE-p7)

Пытаюсь на этой же машине еще раз сделать;

Код: Выделить всё

freebsd-update fetch
Looking up update.FreeBSD.org mirrors... 5 mirrors found.
Fetching metadata signature for 9.3-RELEASE from update4.freebsd.org... done.
Fetching metadata index... done.
Fetching 2 metadata patches.. done.
Applying metadata patches... done.
Fetching 2 metadata files... done.
Inspecting system... done.
Preparing to download files... done.

No updates needed to update system to 9.3-RELEASE-p8.

т.е. получается freebsd-update считает что у меня 9.3-RELEASE-p8.

Код: Выделить всё

# /usr/sbin/ntpd --version
ntpd - NTP daemon program - Ver. 4.2.4p8

версия ntpd с номером патча осталасть точно той же самой что была до обновления.

Как такое может быть, как еще можно проверить?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

guest · Непрочитанное сообщение **guest** » 2015-01-16 10:06:09

Гость писал(а):http://www.opennet.ru/opennews/art.shtml?num=41309
обновил бинарно фряху с 9.1-RELEASE-p4 amd64 до 9.3-RELEASE-p5 amd64.

Но согласно https://www.freebsd.org/security/adviso ... 31.ntp.asc и http://www.vuxml.org/freebsd/4033d826-8 ... 69bc2.html
Код: Выделить всё
Affected packages
		ntp	<	4.2.8
		ntp-devel	<	4.2.8
Код: Выделить всё
Corrected: 2014-12-23 22:54:25 UTC (releng/9.3, 9.3-RELEASE-p7)
Пытаюсь на этой же машине еще раз сделать;
Код: Выделить всё
freebsd-update fetch
Looking up update.FreeBSD.org mirrors... 5 mirrors found.
Fetching metadata signature for 9.3-RELEASE from update4.freebsd.org... done.
Fetching metadata index... done.
Fetching 2 metadata patches.. done.
Applying metadata patches... done.
Fetching 2 metadata files... done.
Inspecting system... done.
Preparing to download files... done.

No updates needed to update system to 9.3-RELEASE-p8.
т.е. получается freebsd-update считает что у меня 9.3-RELEASE-p8.
Код: Выделить всё
# /usr/sbin/ntpd --version
ntpd - NTP daemon program - Ver. 4.2.4p8
версия ntpd с номером патча осталасть точно той же самой что была до обновления.

Как такое может быть, как еще можно проверить?

В чем проблемы, в непонимании?

Версии ntpd в портах и пакетах - это одно.
Версия системного ntpd - это другое.

К системным утилитам применяются security patches, соответственно, версия системного ntpd не
меняется, пропатчили против уязвимости, пересобрали - все, проблема решена.

А в портах и пакетах - третичное ПО обновляется, то есть, изменяются версии с учетом развития.

Гость

блин, действительно, по ntpd ступил. Тогда просто смутило обозначение версии патчей, видимо

Код: Выделить всё

uname -a

не показывает правильно номер патча. Ну да ладно, так сойдет.

guest · Непрочитанное сообщение **guest** » 2015-01-16 11:23:39

Гость писал(а):блин, действительно, по ntpd ступил. Тогда просто смутило обозначение версии патчей, видимо
Код: Выделить всё
uname -a
не показывает правильно номер патча. Ну да ладно, так сойдет.

что показывает:

Код: Выделить всё

# uname -r

от чего зависит показание uname:

1) есть bug-fix которые требуют пересборки ядра
2) есть bug-fix которые НЕ требуют пересборки ядра (пересборка утилит, библиотек или системы целиком)

uname использует системный вызов sysctl и sysctlbyname и получает kern.version, если последние патчи
не затрагивали ядро, то kern.version будет со старыми значениями.

Начиная с 10'ки есть утилита freebsd-version - shell script, который более удобен для определения
securelevel после freebsd-update.

Гость

на 9-ке, которую обновил с 9.1-ки до 9.3 :

Код: Выделить всё

# uname -r
9.3-RELEASE-p5

Сейчас попробовал на другой машине с установленной 10-ой:

Код: Выделить всё

% uname -r
10.1-RELEASE
 % freebsd-version 
10.1-RELEASE-p4

snorlov · Непрочитанное сообщение **snorlov** » 2015-01-18 12:27:08

А я все запросы к ntpd извне блокирую файером, за исключением серверов времени с которыми его получаю... Может и тупо, но проблемы с ntp нет...

andrian_freebsd

После обновления надо обезательно обновить установление пакеты:

Код: Выделить всё

#portmaster -af

http://www.freebsd.org/doc/en_US.ISO885 ... pdate.html

guest · Непрочитанное сообщение **guest** » 2015-01-26 16:11:05

andrian_freebsd писал(а):После обновления надо обезательно обновить установление пакеты:
Код: Выделить всё
#portmaster -af
http://www.freebsd.org/doc/en_US.ISO885 ... pdate.html

в пределах ветки нет необходимости.

forum.lissyara.su