質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.35%

  • yum

    184questions

    yumコマンドは、UNIX系OSのRPMパッケージのインストールなどを行うためのプログラムのことです。

  • Red Hat Enterprise

    126questions

    Red Hat Enterpriseは、レッドハット社により開発・サポートが行われている業務向けLinuxディストリビューションです。オープンソースで無償で利用することができ、バイナリ版の入手・サポートは有償です。商用ディストリビューションとして人気が高く、代表的なLinuxの選択肢の一つです。

脆弱性についての心構えについて

解決済

回答 4

投稿

  • 評価
  • クリップ 3
  • VIEW 2,090

kiyari

score 23

有識者の皆様、よろしくお願いします。

脆弱性についての質問です。

例えば、NTPの脆弱性の状況について、JVNVUのサイトでは、NTPDのバージョンを「ntp-4.2.8p6」以下だと、
影響を受けるためバージョンアップをしてと言ってきます。

https://jvn.jp/vu/JVNVU91176422/

この状況で脆弱性に対するRedhatのサイトの対応状況がイマイチ理解できていないのですが
(直接、サポートに聞けばいいというのは置いといて下さい(涙))

下記のサイトのようにステータスが「Affected」の場合は、そのOSの最新パッケージでも影響を受けているということになると思うのですが、

https://access.redhat.com/security/cve/CVE-2016-2517

【環境】
私の環境の場合、Redhat6.8 ntp 4.2.6p5-10

【質問】
この状況化で対応方法について、選択肢は以下で良いのでしょうか?

①yumで更新できるときまで放置

②rpmパッケージがある場合は、rpmでインストールする。

③緊急性があると判断した場合は、NTPのサイトからダウンロードして
コンパイルして利用する

※上記について、そもそも間違っていたらご指摘下さい。

ちなみに、皆様が今回の脆弱性対応については、どうされるんでしょうか?

よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

checkベストアンサー

+1

RHELの場合、パッケージ自体のメジャーバージョンは上げずに、見つかった脆弱性については古いバージョンへバックポートして対応していることが多々あります。

yum changelogなどで詳細を確認して、本当に脆弱性が残ったままなのか確認してみてください。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/30 19:21

    changelogがインストールされていないのでインストールしました。
    最近のCVEには対応していないようでした。

    sh-4.1# yum changelog 2 ntp
    読み込んだプラグイン:changelog, product-id, rhnplugin, search-disabled-repos, security, subscription-manager
    This system is receiving updates from RHN Classic or RHN Satellite.

    Listing 2 changelogs

    ==================== Installed Packages ====================
    ntp-4.2.6p5-10.el6.i686 installed
    * Tue Jan 26 21:00:00 2016 Miroslav Lichvar <mlichvar@redhat.com> 4.2.6p5-10
    - don't accept server/peer packets with zero origin timestamp (CVE-2015-8138)
    - fix crash with reslist command (CVE-2015-7977, CVE-2015-7978)

    * Tue Jan 12 21:00:00 2016 Miroslav Lichvar <mlichvar@redhat.com> 4.2.6p5-9
    - fix crash with invalid logconfig command (CVE-2015-5194)
    - fix crash when referencing disabled statistic type (CVE-2015-5195)
    - don't hang in sntp with crafted reply (CVE-2015-5219)
    - don't crash with crafted autokey packet (CVE-2015-7691, CVE-2015-7692,
    CVE-2015-7702)
    - fix memory leak with autokey (CVE-2015-7701)
    - don't allow setting driftfile and pidfile remotely (CVE-2015-7703)
    - don't crash in ntpq with crafted packet (CVE-2015-7852)
    - add option to set Differentiated Services Code Point (DSCP) (#1228314)
    - extend rawstats log (#1242895)
    - fix resetting of leap status (#1243034)
    - report clock state changes related to leap seconds (#1242937)
    - allow -4/-6 on restrict lines with mask (#1232146)
    - retry joining multicast groups (#1288534)
    - explain synchronised state in ntpstat man page (#1286969)

    changelog stats. 1 pkg, 1 source pkg, 2 changelogs

    キャンセル

  • 2016/06/07 10:04

    返信が遅くなりました。
    NTPDのアップデートは社内で協議中のままですが、
    有益なコマンドについて教えていただきありがとうございました!
    ベストアンサーにさせていただきます。
    またよろしくお願いします。

    キャンセル

+1

リンク先の Bug 1331467を見ると、Red Hat は Security Issue とは考えていない(アクセス制御で回避可能)とのことですので、修正パッケージはリリースされない可能性が高いです。
今後、より深刻度の高い別の脆弱性が見つかった場合、その修正のついでに一緒に修正される可能性はあります。

(追記) 上記は CVE-2016-2517 のみです。
他の脆弱性については、maisumakun さんの回答にある Changelog や、Red Hat の CVE サイト、Bugzilla などを参照ください。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/07 10:03

    ありがとうございます。
    返信が遅くなり申し訳ありません。
    リンク先の情報ありがとうございます!

    キャンセル

+1

タイトル通り心構えを書くなら「今できる最善を尽くす」です。出来る限り①ではなく②→③で対応します。もちろんyumで対応できるならそれを優先します。

ただし、業務としてサーバーを管理している場合、サーバーの再起動などでサービスが止まるならそこは天秤が必要になります。サービスを止めることがどれだけダメージになるか。また、脆弱性を保有するのがどれだけのリスクになるのか。この判断は難しいです。経営に関することになるので、その判断をする権利を自分が持っていない可能性もあります。

ただ、この記事の例に上げた件の場合はNTPなので一時的ならNTPの通信を止めてしまっても問題ないと思います。一時的にNTPの通信を止めてしまい、人が少ない時間帯にメンテナンスするプランが良いかなと思います。

それとですが……

この状況で脆弱性に対するRedhatのサイトの対応状況がイマイチ理解できていないのですが 
(直接、サポートに聞けばいいというのは置いといて下さい(涙))

おそらくkiyariさんもサポートに聞くのが一番精度の高い情報を得る方法だとわかっていると思います。Radhatを使うのはサポートのためだと思うので、不安なら聞いてしまったほうが良いのではないでしょうか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/07 10:01

    コメントありがとうございます。
    また、連絡が遅くなり申し訳ありません。
    社内事情まで考えて頂きありがとうございます。
    サーバエンジニアとして、脆弱性との戦いに負けないように
    常にセキリティを意識して、最善を尽くしていきます!

    キャンセル

-1

NTPの最新のものをダウンロードしてインストールすべきだと思います。

2016年4月のSecurityNoticeでは、ntp 4.2.8p6 で解決できているセキュリティ脆弱性が述べられています。
2010年4月のSecurityNoticeで言及されているのが ntp 4.2.7p26 です。
バージョン番号から見て、質問者がお使いの、ntp 4.2.6p5 は6年間以上に渡って脆弱性が放置されているものという事になります。

これまで攻撃を受けなかったのは幸運であっただけです。
6年間の間に明らかになった多くの脆弱性を持つntpをそのまま使い続ける事を、お勧めはしません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/30 17:02

    RHEL(CentOSも)はマイナーバージョンを固定して、脆弱性対応やバグフィックスを実施しています。
    単純にntp 4.2.6p5だからといってそこから全て変更されていないわけでなく、
    4.2.6p5-10の(-10)までに実施されたセキュリティ対策を確認して回答する必要があるかと思います。

    キャンセル

  • 2016/06/07 10:05

    ありがとうございます。
    とても勉強になります!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.35%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • yum

    184questions

    yumコマンドは、UNIX系OSのRPMパッケージのインストールなどを行うためのプログラムのことです。

  • Red Hat Enterprise

    126questions

    Red Hat Enterpriseは、レッドハット社により開発・サポートが行われている業務向けLinuxディストリビューションです。オープンソースで無償で利用することができ、バイナリ版の入手・サポートは有償です。商用ディストリビューションとして人気が高く、代表的なLinuxの選択肢の一つです。