Bug 30591

Summary: CVEs 2014 9293-9296 in ntpd
Product: Sisyphus Reporter: Mike Lykov <combr>
Component: ntpAssignee: Sergey Y. Afonin <asy>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: asy, glebfm, ldv, mike
Version: unstable   
Hardware: all   
OS: Linux   
URL: http://www.kb.cert.org/vuls/id/852879

Description Mike Lykov 2014-12-22 13:54:29 MSK 
Network Time Protocol daemon (ntpd) contains multiple vulnerabilities

Apply an update

These issues have been addressed in NTP 4.2.8. The update may be downloaded from ntp.org.

Tarballs Stable: 4.2.8 2014/12/19
Comment 1 Mike Lykov 2014-12-22 13:58:36 MSK 
*** Bug 30590 has been marked as a duplicate of this bug. ***
Comment 2 Sergey Y. Afonin 2014-12-23 18:29:34 MSK 
В первом приближении задание #137439. Не проверены маны, которые не из тарбола, собрать пришлось с openssl из-за 

../libntp/libntp.a(ntp_crypto_rnd.o): In function `ntp_crypto_random_buf':
/usr/src/RPM/BUILD/ntp-4.2.8/libntp/ntp_crypto_rnd.c:93: undefined reference to `arc4random_buf'

функция arc4random_buf определена в libbsd, но с libbsd совсем не собирается. С openssl arc4random_buf не используется. Если каких-то предложений по изменениям сборки не будет, отправлю завтра в Сизиф. В финальном виде не проверил ещё, проверять буду завтра (маны проверять не планирую в alt1).
Comment 3 Sergey Y. Afonin 2014-12-24 10:56:32 MSK 
Вроде бы всё работает, в p7 из #137439 ставится тоже. Вечером в Сизиф отправлю, если ничего не вылезет.
Comment 4 Sergey Y. Afonin 2014-12-24 16:52:47 MSK 
Почему-то автозакрывалка не сработала.

4.2.8-alt1 в Сизифе

 - 4.2.8 (ALT #30591, CVEs 2014 9293-9296)
 - refactored ntp.conf (ALT #19494#c7)