Bug 30591 - CVEs 2014 9293-9296 in ntpd
Summary: CVEs 2014 9293-9296 in ntpd
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: ntp (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Sergey Y. Afonin
QA Contact: qa-sisyphus
URL: http://www.kb.cert.org/vuls/id/852879
Keywords:
: 30590 (view as bug list)
Depends on:
Blocks:
 
Reported: 2014-12-22 13:54 MSK by Mike Lykov
Modified: 2014-12-24 16:52 MSK (History)
4 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Mike Lykov 2014-12-22 13:54:29 MSK 
Network Time Protocol daemon (ntpd) contains multiple vulnerabilities

Apply an update

These issues have been addressed in NTP 4.2.8. The update may be downloaded from ntp.org.

Tarballs Stable: 4.2.8 2014/12/19
Comment 1 Mike Lykov 2014-12-22 13:58:36 MSK 
*** Bug 30590 has been marked as a duplicate of this bug. ***
Comment 2 Sergey Y. Afonin 2014-12-23 18:29:34 MSK 
В первом приближении задание #137439. Не проверены маны, которые не из тарбола, собрать пришлось с openssl из-за 

../libntp/libntp.a(ntp_crypto_rnd.o): In function `ntp_crypto_random_buf':
/usr/src/RPM/BUILD/ntp-4.2.8/libntp/ntp_crypto_rnd.c:93: undefined reference to `arc4random_buf'

функция arc4random_buf определена в libbsd, но с libbsd совсем не собирается. С openssl arc4random_buf не используется. Если каких-то предложений по изменениям сборки не будет, отправлю завтра в Сизиф. В финальном виде не проверил ещё, проверять буду завтра (маны проверять не планирую в alt1).
Comment 3 Sergey Y. Afonin 2014-12-24 10:56:32 MSK 
Вроде бы всё работает, в p7 из #137439 ставится тоже. Вечером в Сизиф отправлю, если ничего не вылезет.
Comment 4 Sergey Y. Afonin 2014-12-24 16:52:47 MSK 
Почему-то автозакрывалка не сработала.

4.2.8-alt1 в Сизифе

 - 4.2.8 (ALT #30591, CVEs 2014 9293-9296)
 - refactored ntp.conf (ALT #19494#c7)