Suite à une nouvelle faille de sécurité dans le progiciel Network Time Protocol , Apple a fourni une mise à jour logicielle pour Mountain Lion et les versions plus récentes d'OS X.
Comme d'habitude, les anciennes versions d'OS X avec lesquelles on peut être coincé (car le matériel ne prend pas en charge les versions plus récentes, car il faut Rosetta,…) ne sont pas couvertes par la mise à jour de sécurité.
Mes questions sont:
la désactivation de «régler automatiquement la date et l'heure» dans les Préférences Logicielles est-elle suffisante pour garantir que ntpd ne fonctionne pas?
Que pourrait-il se passer si le binaire ntdp était simplement supprimé pour des raisons de sécurité sur OS X Snow Leopard ou Lion?
Dans le doute, je pourrais utiliser ces instructions pour limiter la portée de ntpd sans le désactiver / le supprimer complètement, mais dans ce cas, il reste le risque de se tromper et de laisser ntpd exposé.
security
commentaires :(.Réponses:
Oui .
Voici comment vous en assurer. Ouvrez une fenêtre
Terminal
ouxterm
.Exécutez la commande suivante:
et notez que vous avez un
ntpd
processus en cours d'exécution.Ouvrez
System Preferences
et éteignezSet date and time automatically:
Vérifiez avec la
ps
commande ci-dessus que vous n'avez aucunntpd
processus en cours d'exécution.Ne supprimez pas le
ntpd
binaire, ce n'est pas nécessaire et vous priverait de la possibilité de profiter d'un correctif d'Apple :).Non .
Cette recette vous laissera avec une course
ntpd
et donc exposée à une attaque.la source
sudo launchctl unload /System/Library/LaunchDaemons/org.ntp.ntpd.plist
System Preferences
. Lorsque vous l'utilisez, vous devez vérifier avectail -f /var/log/system.log
ce qui pourrait ne pas fonctionner dans votreSystem Preferences
. Pour enquêter sur ce problème, je vous conseille de lancer une autre question.Au lieu de désactiver ntpd, vous devez télécharger la source de la version 4.2.8 de ntp et la compiler vous-même. Tout ce dont vous avez besoin est Xcode pour Lion / SnowLeo. Cela devrait fonctionner sur 10.6.x et 10.7.x très bien.
J'ai mis à jour mon installation 10.10 immédiatement après la publication du code CVE et la publication du code source et je n'ai pas attendu Apple pour publier la mise à jour.
Pour compiler ntpd, téléchargez la source depuis ntp.org et appliquez le correctif pour OS X / FreeBSD. Après avoir appliqué ce correctif, vous pourrez simplement exécuter "./configure && make". Ensuite, vous pouvez copier les fichiers binaires dans les répertoires appropriés (/ usr / sbin / et / usr / bin /).
Pour Mac OS X 10.7 (Lion):
Voici la liste des fichiers et dossiers auxquels ils appartiennent qui seront construits à partir de la source ci-dessus. Après la compilation, tous ces fichiers seront dans divers sous-dossiers.
Renommez les anciens en utilisant quelque chose comme:
puis déplacez le nouveau po Assurez-vous de chown les fichiers après les avoir déplacés en place:
Remarque : je ne l'ai pas utilisé
sudo make install
parce que je ne faisais pas confiance au Makefile (je n'étais pas sûr qu'il placerait les fichiers dans les mêmes dossiers qu'Apple les avait placés à l'origine et je voulais être sûr qu'ils sont toujours au même endroit que l'ancien). ceux). Le déplacement manuel de 6 fichiers n'est pas un gros problème. Le reste des fichiers (les pages de manuel, les pages html, etc. sont les mêmes afin que vous n'ayez pas à vous soucier de les déplacer.)la source
./configure --prefix='/usr'
l'étape initiale, puis de suivremake ; sudo make install
.Je n'ai pas fouillé dans la documentation de la brèche en détail. Normalement, ntp fait des requêtes périodiques aux serveurs pour obtenir une correction. Une fois la dérive de l'horloge locale établie, ces requêtes ne sont plus fréquentes.
La plupart des pare-feu sont configurés pour ignorer les paquets de demande de l'extérieur. Je pense que Ntp utilise UDP qui est nominalement apatride. Généralement, un pare-feu laisse un paquet UDP revenir pendant une petite fenêtre de temps après la sortie d'un paquet UDP. Le paquet de retour doit provenir de la bonne IP et avoir le bon port. Un chapeau noir devrait soit subvertir votre serveur DNS, soit subvertir votre serveur NTP.
Est-ce que quelqu'un expliquerait comment cette menace est réellement mise en jeu, en supposant que la personne ne spécifie pas pool.ntp.org comme son serveur ntp?
Les moyens de contourner cela:
Vous pouvez également utiliser Fink ou Homebrew de cette façon, mais MacPorts semble être moins dépendant d'Apple OS, donc à long terme pour un système plus ancien, je pense qu'il y aura moins de douleur.
la source