Из-за новой уязвимости системы безопасности в пакете программного обеспечения Network Time Protocol компания Apple предоставила обновление программного обеспечения для Mountain Lion и более новых версий OS X.
Как обычно, более старые версии OS X, с которыми можно застрять (поскольку аппаратное обеспечение не поддерживает более новые версии, потому что нужна Rosetta и т. д.), не покрываются обновлением для системы безопасности.
Мои вопросы:
Достаточно ли отключить «установить дату и время автоматически» в настройках программного обеспечения, чтобы убедиться, что ntpd не запущен?
что может сломаться, если двоичный файл ntdp будет просто удален в целях безопасности в OS X Snow Leopard или Lion?
Сомневаюсь, что я мог бы использовать эти инструкции для ограничения области действия ntpd без его полного отключения/удаления, но в этом случае остается риск ошибиться и оставить ntpd незащищенным.
Достаточно ли отключить «установить дату и время автоматически» в настройках программного обеспечения, чтобы убедиться, что ntpd не запущен?
Да .
Вот способ застраховать себя от этого. Откройте Terminal
или xterm
окно.
Выполните следующую команду:
ps ax | grep ntp
и обратите внимание, что у вас ntpd
запущен процесс.
Открыть System Preferences
и выключитьSet date and time automatically:
Проверьте с помощью ps
приведенной выше команды, что у вас нет ntpd
запущенного процесса.
ntpd
бинарник, это не обязательно и лишит вас возможности воспользоваться исправлением от Apple :).
Сомневаюсь, что я мог бы использовать эти инструкции для ограничения объема
нет .
Этот рецепт оставит вас в бегах ntpd
и, следовательно, подвергнет атаке.
sudo launchctl unload /System/Library/LaunchDaemons/org.ntp.ntpd.plist
System Preferences
делает графический интерфейс. При его использовании вы должны проверить, tail -f /var/log/system.log
что может пойти не так в вашем файле System Preferences
. Для исследования этой проблемы советую запустить еще один вопрос.Вместо того, чтобы отключать ntpd, вы должны загрузить исходный код для версии 4.2.8 ntp и скомпилировать его самостоятельно. Все, что вам нужно, это Xcode для Lion/SnowLeo. Он должен нормально работать на 10.6.x и 10.7.x.
Я обновил свою установку 10.10 сразу после публикации CVE и выпуска исходного кода, и я не стал ждать, пока Apple выпустит обновление.
Чтобы скомпилировать ntpd, загрузите исходный код с ntp.org и примените патч для OS X/FreeBSD. После применения этого патча вы сможете просто запустить «./configure && make». Затем вы можете скопировать двоичные файлы в соответствующие каталоги (/usr/sbin/ и /usr/bin/).
Для Mac OS X 10.7 (лев):
mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make
Вот список файлов и папок, которым они принадлежат, которые будут построены из исходного кода выше. После компиляции все эти файлы будут находиться в различных подпапках.
/usr/bin/sntp
/usr/bin/ntp-keygen
/usr/bin/ntpq
/usr/sbin/ntpdc
/usr/sbin/ntpdate
/usr/sbin/ntpd
Переименуйте старые, используя что-то вроде:
sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old
а затем переместите новый. Обязательно разделите файлы после их перемещения на место:
sudo chown root:wheel /usr/sbin/ntpd
Примечание . Я не использовал, sudo make install
потому что не доверял Makefile (я не был уверен, что он поместит файлы в те же папки, в которые их изначально поместила Apple, и хотел убедиться, что они все еще находятся в том же месте, что и старые те). Перемещение 6 файлов вручную не представляет большой проблемы. Остальные файлы (man-страницы, html-страницы и т. д.) одинаковы, поэтому вам не нужно беспокоиться о их перемещении.
ntpsnmpd
. Это даже не часть 10.10 и не часть их обновления безопасности. Если вам это нужно (вероятно, вам это не нужно), поместите его в /usr/bin/
. Но чем меньше у вас исполняемых файлов, тем безопаснее../configure --prefix='/usr'
в качестве начального шага, а затем выполнить make ; sudo make install
.make install
вставляет ntpsnmpd
, /usr/sbin
а не /usr/bin
.Я не вникал в документацию по взлому подробно. Обычно ntp делает периодические запросы к серверам, чтобы получить исправление. После того, как дрейф местных часов установлен, эти запросы не являются частыми.
Большинство брандмауэров настроены на игнорирование пакетов запросов извне. Я думаю, что NTP использует UDP, который номинально не имеет гражданства. Обычно брандмауэр пропускает пакет UDP обратно в течение небольшого промежутка времени после того, как пакет UDP вышел. Обратный пакет должен быть с правильного IP и иметь правильный порт. Черная шляпа должна либо подорвать ваш DNS-сервер, либо подорвать ваш NTP-сервер.
Так может ли кто-нибудь объяснить, как эта угроза на самом деле приводится в действие, если предположить, что человек не указывает pool.ntp.org в качестве своего ntp-сервера?
Способы обойти это:
Вы также можете использовать Fink или Homebrew таким образом, но MacPorts, похоже, меньше зависит от Apple OS, поэтому в долгосрочной перспективе для более старой системы, я подозреваю, будет меньше проблем.
Дэн
security
обратной связи :(.Паскаль Куок
искра