Q&A
ありがとうございます。
返信が遅くなり申し訳ありません。
リンク先の情報ありがとうございます!
有識者の皆様、よろしくお願いします。
脆弱性についての質問です。
例えば、NTPの脆弱性の状況について、JVNVUのサイトでは、NTPDのバージョンを「ntp-4.2.8p6」以下だと、
影響を受けるためバージョンアップをしてと言ってきます。
https://jvn.jp/vu/JVNVU91176422/
この状況で脆弱性に対するRedhatのサイトの対応状況がイマイチ理解できていないのですが
(直接、サポートに聞けばいいというのは置いといて下さい(涙))
下記のサイトのようにステータスが「Affected」の場合は、そのOSの最新パッケージでも影響を受けているということになると思うのですが、
https://access.redhat.com/security/cve/CVE-2016-2517
【環境】
私の環境の場合、Redhat6.8 ntp 4.2.6p5-10
【質問】
この状況化で対応方法について、選択肢は以下で良いのでしょうか?
①yumで更新できるときまで放置
②rpmパッケージがある場合は、rpmでインストールする。
③緊急性があると判断した場合は、NTPのサイトからダウンロードして
コンパイルして利用する
※上記について、そもそも間違っていたらご指摘下さい。
ちなみに、皆様が今回の脆弱性対応については、どうされるんでしょうか?
よろしくお願いします。
回答4件
0
タイトル通り心構えを書くなら「今できる最善を尽くす」です。出来る限り①ではなく②→③で対応します。もちろんyumで対応できるならそれを優先します。
ただし、業務としてサーバーを管理している場合、サーバーの再起動などでサービスが止まるならそこは天秤が必要になります。サービスを止めることがどれだけダメージになるか。また、脆弱性を保有するのがどれだけのリスクになるのか。この判断は難しいです。経営に関することになるので、その判断をする権利を自分が持っていない可能性もあります。
ただ、この記事の例に上げた件の場合はNTPなので一時的ならNTPの通信を止めてしまっても問題ないと思います。一時的にNTPの通信を止めてしまい、人が少ない時間帯にメンテナンスするプランが良いかなと思います。
それとですが……
この状況で脆弱性に対するRedhatのサイトの対応状況がイマイチ理解できていないのですが
(直接、サポートに聞けばいいというのは置いといて下さい(涙))
おそらくkiyariさんもサポートに聞くのが一番精度の高い情報を得る方法だとわかっていると思います。Radhatを使うのはサポートのためだと思うので、不安なら聞いてしまったほうが良いのではないでしょうか?
投稿2016/05/30 11:18
総合スコア1895
0
リンク先の Bug 1331467を見ると、Red Hat は Security Issue とは考えていない(アクセス制御で回避可能)とのことですので、修正パッケージはリリースされない可能性が高いです。
今後、より深刻度の高い別の脆弱性が見つかった場合、その修正のついでに一緒に修正される可能性はあります。
(追記) 上記は CVE-2016-2517 のみです。
他の脆弱性については、maisumakun さんの回答にある Changelog や、Red Hat の CVE サイト、Bugzilla などを参照ください。
投稿2016/05/30 07:56
編集2016/05/30 08:00
総合スコア12146
0
ベストアンサー
RHELの場合、パッケージ自体のメジャーバージョンは上げずに、見つかった脆弱性については古いバージョンへバックポートして対応していることが多々あります。
yum changelogなどで詳細を確認して、本当に脆弱性が残ったままなのか確認してみてください。
投稿2016/05/30 07:30
総合スコア145183
changelogがインストールされていないのでインストールしました。
最近のCVEには対応していないようでした。
sh-4.1# yum changelog 2 ntp
読み込んだプラグイン:changelog, product-id, rhnplugin, search-disabled-repos, security, subscription-manager
This system is receiving updates from RHN Classic or RHN Satellite.
Listing 2 changelogs
==================== Installed Packages ====================
ntp-4.2.6p5-10.el6.i686 installed
* Tue Jan 26 21:00:00 2016 Miroslav Lichvar <mlichvar@redhat.com> 4.2.6p5-10
- don't accept server/peer packets with zero origin timestamp (CVE-2015-8138)
- fix crash with reslist command (CVE-2015-7977, CVE-2015-7978)
* Tue Jan 12 21:00:00 2016 Miroslav Lichvar <mlichvar@redhat.com> 4.2.6p5-9
- fix crash with invalid logconfig command (CVE-2015-5194)
- fix crash when referencing disabled statistic type (CVE-2015-5195)
- don't hang in sntp with crafted reply (CVE-2015-5219)
- don't crash with crafted autokey packet (CVE-2015-7691, CVE-2015-7692,
CVE-2015-7702)
- fix memory leak with autokey (CVE-2015-7701)
- don't allow setting driftfile and pidfile remotely (CVE-2015-7703)
- don't crash in ntpq with crafted packet (CVE-2015-7852)
- add option to set Differentiated Services Code Point (DSCP) (#1228314)
- extend rawstats log (#1242895)
- fix resetting of leap status (#1243034)
- report clock state changes related to leap seconds (#1242937)
- allow -4/-6 on restrict lines with mask (#1232146)
- retry joining multicast groups (#1288534)
- explain synchronised state in ntpstat man page (#1286969)
changelog stats. 1 pkg, 1 source pkg, 2 changelogs
返信が遅くなりました。
NTPDのアップデートは社内で協議中のままですが、
有益なコマンドについて教えていただきありがとうございました!
ベストアンサーにさせていただきます。
またよろしくお願いします。
0
NTPの最新のものをダウンロードしてインストールすべきだと思います。
2016年4月のSecurityNoticeでは、ntp 4.2.8p6 で解決できているセキュリティ脆弱性が述べられています。
2010年4月のSecurityNoticeで言及されているのが ntp 4.2.7p26 です。
バージョン番号から見て、質問者がお使いの、ntp 4.2.6p5 は6年間以上に渡って脆弱性が放置されているものという事になります。
これまで攻撃を受けなかったのは幸運であっただけです。
6年間の間に明らかになった多くの脆弱性を持つntpをそのまま使い続ける事を、お勧めはしません。
投稿2016/05/30 07:25
総合スコア6915
RHEL(CentOSも)はマイナーバージョンを固定して、脆弱性対応やバグフィックスを実施しています。
単純にntp 4.2.6p5だからといってそこから全て変更されていないわけでなく、
4.2.6p5-10の(-10)までに実施されたセキュリティ対策を確認して回答する必要があるかと思います。
ありがとうございます。
とても勉強になります!
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/06/07 01:01