Nach einer neuen Sicherheitslücke im Softwarepaket Network Time Protocol hat Apple ein Software-Update für Mountain Lion und neuere Versionen von OS X bereitgestellt .
Wie üblich sind die älteren Versionen von OS X, an denen man hängen bleiben könnte (weil die Hardware neuere Versionen nicht unterstützt, weil man Rosetta braucht, …), nicht vom Sicherheitsupdate erfasst.
Meine Fragen sind:
reicht das Deaktivieren von „Datum und Uhrzeit automatisch einstellen“ in den Softwareeinstellungen aus, um sicherzustellen, dass ntpd nicht ausgeführt wird?
Was könnte kaputt gehen, wenn die ntdp-Binärdatei einfach aus Sicherheitsgründen unter OS X Snow Leopard oder Lion gelöscht würde?
Im Zweifelsfall könnte ich diese Anweisungen verwenden , um den Umfang von ntpd einzuschränken, ohne ihn vollständig zu deaktivieren/zu löschen, aber in diesem Fall bleibt das Risiko bestehen, es falsch zu machen und ntpd ungeschützt zu lassen.
reicht das Deaktivieren von „Datum und Uhrzeit automatisch einstellen“ in den Softwareeinstellungen aus, um sicherzustellen, dass ntpd nicht ausgeführt wird?
Ja .
Hier ist der Weg, sich davon zu versichern. Öffnen Sie ein Terminal
oder xterm
-Fenster.
Führen Sie den folgenden Befehl aus:
ps ax | grep ntp
und stellen Sie fest, dass ein ntpd
Prozess ausgeführt wird.
Öffnen System Preferences
und ausschaltenSet date and time automatically:
Überprüfen Sie mit dem ps
obigen Befehl, dass kein ntpd
Prozess ausgeführt wird.
ntpd
Binärdatei nicht, dies ist nicht erforderlich und würde Ihnen die Chance nehmen, einen Fix von Apple zu nutzen :).
Im Zweifel könnte ich diese Anleitung verwenden, um den Umfang einzuschränken
Nein .
Dieses Rezept wird Sie mit einem Rennen zurücklassen ntpd
und somit einem Angriff ausgesetzt sein.
sudo launchctl unload /System/Library/LaunchDaemons/org.ntp.ntpd.plist
System Preferences
tut. Wenn Sie es verwenden, sollten Sie mit einem überprüfen tail -f /var/log/system.log
, was in Ihrer System Preferences
. Um dieses Problem zu untersuchen, empfehle ich Ihnen, eine weitere Frage zu stellen.Anstatt ntpd zu deaktivieren, sollten Sie den Quellcode für Version 4.2.8 von ntp herunterladen und selbst kompilieren. Alles, was Sie brauchen, ist Xcode für Lion/SnowLeo. Es sollte auf 10.6.x und 10.7.x problemlos funktionieren.
Ich habe meine 10.10-Installation unmittelbar nach der Veröffentlichung des CVE und der Veröffentlichung des Quellcodes aktualisiert und ich habe nicht darauf gewartet, dass Apple das Update veröffentlicht.
Um ntpd zu kompilieren, laden Sie den Quellcode von ntp.org herunter und wenden Sie den Patch für OS X/FreeBSD an. Nachdem Sie diesen Patch angewendet haben, können Sie einfach "./configure && make" ausführen. Dann können Sie die Binärdateien in die entsprechenden Verzeichnisse (/usr/sbin/ und /usr/bin/) kopieren.
Für Mac OS X 10.7 (Löwe):
mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make
Hier ist die Liste der Dateien und Ordner, zu denen sie gehören, die aus der obigen Quelle erstellt werden. Nach der Kompilierung befinden sich alle diese Dateien in verschiedenen Unterordnern.
/usr/bin/sntp
/usr/bin/ntp-keygen
/usr/bin/ntpq
/usr/sbin/ntpdc
/usr/sbin/ntpdate
/usr/sbin/ntpd
Benennen Sie alte um, indem Sie Folgendes verwenden:
sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old
und verschieben Sie dann die neue. Stellen Sie sicher, dass Sie die Dateien nach dem Verschieben an Ort und Stelle ändern:
sudo chown root:wheel /usr/sbin/ntpd
Hinweis : Ich habe es nicht verwendet, sudo make install
weil ich dem Makefile nicht vertraut habe (ich war mir nicht sicher, ob es Dateien in denselben Ordnern ablegen würde, in denen Apple sie ursprünglich abgelegt hat, und wollte sicher sein, dass sie sich immer noch an derselben Stelle wie alt befinden Einsen). Das manuelle Verschieben von 6 Dateien ist kein großes Problem. Der Rest der Dateien (Manpages, HTML-Seiten usw. sind gleich, sodass Sie sich nicht die Mühe machen müssen, diese zu verschieben.)
ntpsnmpd
. Es ist nicht einmal Teil von 10.10 und auch nicht Teil ihres Sicherheitsupdates. Wenn Sie es brauchen (wahrscheinlich nicht), geben Sie es ein /usr/bin/
. Aber weniger Zeug, das Sie als ausführbare Dateien haben, ist sicherer../configure --prefix='/usr'
als ersten Schritt auszuführen und dann mit fortzufahren make ; sudo make install
.make install
einfügt ntpsnmpd
, /usr/sbin
nicht /usr/bin
.Ich habe mich nicht im Detail mit der Dokumentation des Verstoßes befasst. Normalerweise fragt ntp regelmäßig Server ab, um eine Korrektur zu erhalten. Sobald die Drift der lokalen Uhr festgestellt wurde, sind diese Abfragen nicht mehr häufig.
Die meisten Firewalls sind so konfiguriert, dass sie Anforderungspakete von außen ignorieren. Ntp verwendet meiner Meinung nach UDP, das nominell zustandslos ist. Typischerweise lässt eine Firewall ein UDP-Paket für ein kurzes Zeitfenster wieder herein, nachdem ein UDP-Paket ausgesendet wurde. Das Rückpaket muss von der richtigen IP kommen und den richtigen Port haben. Ein schwarzer Hut müsste entweder Ihren DNS-Server oder Ihren NTP-Server untergraben.
Würde also jemand erklären, wie diese Bedrohung tatsächlich ins Spiel gebracht wird, vorausgesetzt, dass die Person nicht pool.ntp.org als seinen NTP-Server angibt?
Möglichkeiten, dies zu umgehen:
Sie können auch Fink oder Homebrew auf diese Weise verwenden, aber MacPorts scheint weniger abhängig von Apple OS zu sein, daher vermute ich, dass es auf lange Sicht für ein älteres System weniger Probleme geben wird.
Dan
security
Feedback-Eintrag :(.Pascal Cuoq
iskra