Эрик Реймонд (Eric S. Raymond), один из основателей организации OSI (Open Source Initiative), представил первый стабильный выпуск NTPsec 1.0, форка эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированного на переработке кодовой базы с целью повышения безопасности. В развитии NTPsec участвуют некоторые разработчики оригинального NTP Classic, инженеры из компаний Hewlett Packard и Akamai Technologies, а также участники проектов GPSD и RTEMS. Исходные тексты NTPsec размещены в репозитории на GitLab. NTPsec 1.0 подвёл итог двух с половиной лет работы над проектом и позиционируется как первый выпуск, пригодный для промышленного внедрения. В ходе работы кодовая база была сокращена на 76% от состояния в момент форка - число строк кода уменьшилось со 178 тысяч до 55 тысяч, в основном за счёт чистки устаревших возможностей, неактуальных платформ и необязательных инструментов. Уменьшение кодовой базы позволило избавиться от кода, связанного с 75% из уязвимостей, выявленных в классическом NTPD. При
Представлен релиз переносимой редакции системы синхронизации точного времени OpenNTPD 6.1p1, развиваемой проектом OpenBSD. Версия OpenNTPD 6.1 позиционируется как стабильная и будет включена в состав осеннего релиза OpenBSD 6.1. Одновременно сформирован выпуск OpenNTPD 6.2p1, который рассматривается как экспериментальная база для развития новых возможностей. OpenNTPD обеспечивает поддержку протокола NTP в соответствии с RFC 1305 (NTP, Network Time Protocol) и RFC 5905 (SNTP, Simple Network Time Protocol). Поддерживается как синхронизация локального времени с удалённым NTP-сервером, так и работа в роли NTP-сервера, который в том числе может получать точное время от специального оборудования через sensorsd(8). Настройка осуществляется через файл конфигурации ntpd.conf. Работа OpenNTPD проверена в Linux, FreeBSD, Solaris и macOS. В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и
Доступен корректирующий выпуск сервера для синхронизации точного времени NTP 4.2.8p9, в котором устранено 10 уязвимостей, которые могут привести к отказу в обслуживании, путём исчерпания доступных ресурсов или инициирования краха процесса. Одна из уязвимостей (CVE-2016-7434) достаточно проста в эксплуатации и может привести к краху процесса ntpd при отправке специально оформленного пакета без необходимости прохождения аутентификации (проблема проявляется на ранней стадии соединения): echo "FgoAEAAAAAAAAAA2bm9uY2UsIGxhZGRyPVtdOkhyYWdzPTMyLCBsY"\ "WRkcj1bXTpXT1AAMiwgbGFkZHI9W106V09QAAA=" | base64 -d | nc -u -v 127.0.0.1 123
Состоялся релиз переносимой редакции системы синхронизации точного времени OpenNTPD 6.0p1, развиваемой проектом OpenBSD. OpenNTPD обеспечивает поддержку протокола NTP в соответствии с RFC 1305 (NTP, Network Time Protocol) и RFC 5905 (SNTP, Simple Network Time Protocol). Поддерживается как синхронизация локального времени с удалённым NTP-сервером, так и работа в роли NTP-сервера, который в том числе может получать точное время от специального оборудования через sensorsd(8). Настройка осуществляется через файл конфигурации ntpd.conf. Работа OpenNTPD 5.7p4 проверена в Linux , FreeBSD, Solaris и OS X. В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код). Для дополнительной защиты в OpenNTPD применяется механизм разделения привилегий, разделяющий работу непривилегированного кода обработки сетевых соединений от привилегированного кода установки времени. Демон ntpd
Доступен корректирующий выпуск сервера для синхронизации точного времени NTP 4.2.8p7, в котором устранено 11 уязвимостей, большинство из которых выявлено в процессе аудита, проведённого компанией Cisco. Уязвимостям присвоен средний или низкий уровень опасности из-за специфичных условий эксплуатации (например, отсутствие блокировки спуфинга UDP-пакетов). Уязвимости могут привести к блокированию работы сервера, краху процесса ntpd, нарушению нормальной синхронизации времени или изменению установленного на сервере/клиенте времени. Обновления уже выпущены для FreeBSD, но пока недоступны для дистрибутивов Linux (Debian, Ubuntu, RHEL).
Эрик Реймонд (Eric S. Raymond), один из основателей организации OSI (Open Source Initiative), стоявший у истоков движения открытого ПО и написавший в свое время известное эссе "Собор и Базар", представил бета-выпуск проекта NTPsec, в рамках которого предпринята попытка проведения рефакторинга эталонной реализации протокола NTPv4. Исходные тексты NTPsec размещены в репозитории на GitLab. NTPsec развивается как форк NTP Classic 4.3.34. Кроме Реймонда к работе над NTPsec привлечены разработчики оригинального NTP Classic, инженеры из компаний Hewlett Packard и Akamai Technologies, а также участники проектов GPSD и RTEMS. Первый бета-выпуск NTPsec пока содержит не все задуманные возможности, а поддерживаемые платформы ограничены Linux и FreeBSD, но базовая функциональность по синхронизации времени работает вполне стабильно, проект полностью совместим с классическим пакетом NTP и использует те же алгоритмы. Изменения в NTPsec в основном касаются переработки внутренностей с внедрением передовых техник
Группа исследователей из Бостонского университета разработала серию новых методов атаки (PDF) на клиентские и серверные системы, использующие протокол NTP для синхронизации времени без применения аутентификации. Проблемы проявляются в пакете ntpd и устранены в выпущенной вчера версии 4.2.8p4 (всего исправлено 13 уязвимостей). Большинство выявленных уязвимостей позволяют осуществить отказ в обслуживании и заблокировать процесс синхронизации времени. Две проблемы дают возможность добиться установки фиктивного времени. В частности, проблема с обработкой фрагментированных IPv4-пакетов позволяет атакующему сместить показания системных часов на произвольное время в прошлое, направив на систему жертвы поток специально оформленных NTP-пакетов. Для успешного проведения атаки NTP-сервер должен принимать запросы PMTU (Path MTU Discovery) для фрагментирования пакетов с их приведением к MTU в 68 байт. Проверить свои системы на наличие уязвимости можно через данную форму. На первый взгляд изменение показания часов
C целью синхронизации с астрономическим временем Земли эталонные мировые атомные часы завтра будут приостановлены на одну секунду, что приведёт к появлению 61 секунды в одной из минут. В прошлый раз подобная синхронизация состоялась в 2012 году и привела к массовым сбоям в серверных системах, в которых была настроена синхронизация точного времени по протоколу NTP. Из-за неготовности обработать появление лишней секунды некоторые системы зацикливались и начинали потреблять излишние ресурсы CPU. Фактически лишняя секунда будет добавлена на атомных часах в 23:59:60 GMT. В разных системах используются разные методы для предотвращения сбоев в приложениях, связанных с появлением аномальной 61 секунды. Учитывая печальный опыт прошлого, современные дистрибутивы Linux, а также проекты FreeBSD и OpenBSD, своевременно подготовились к грядущему появлению лишней секунды. Тем не менее, в конце мая в ядре Linux выявлена недоработка, которая может привести к срабатыванию некоторых таймеров на секунду раньше намеченного
Представлен релиз переносимой редакции системы синхронизации точного времени OpenNTPD 5.7p4, развиваемой проектом OpenBSD. OpenNTPD обеспечивает поддержку протокола NTP в соответствии с RFC 1305 (NTP, Network Time Protocol) и RFC 5905 (SNTP, Simple Network Time Protocol). Поддерживается как синхронизация локального времени с удалённым NTP-сервером, так и работа в роли NTP-сервера, который в том числе может получать точное время от специального оборудования через sensorsd(8). Настройка осуществляется через файл конфигурации ntpd.conf. Работа OpenNTPD 5.7p4 проверена в Linux , FreeBSD, Solaris и OS X. В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код). Для дополнительной защиты в OpenNTPD применяется механизм разделения привилегий, разделяющий работу непривилегированного кода обработки сетевых соединений от привилегированного кода установки времени. Демон ntpd
Представлен релиз cервера синхронизации точного времени OpenNTPD 5.7p1, развиваемого проектом OpenBSD. Это первый переносимый выпуск OpenNTPD, рассчитанный на работу в операционных системах отличных от OpenBSD, представленный после длительного перерыва. Прошлая переносимая версия OpenNTPD 3.9p1 вышла в 2006 году, после чего из-за отсутствия интереса к портированию развитие OpenNTPD ограничивалось только платформой OpenBSD. Интерес к работе OpenNTPD на других платформах возродился после выявления критической уязвимости в NTPD и осознания проблематичности повышения качества кода из-за раздутости кодовой базы NTPD. За разработкой переносимой версии можно проследить в зеркале репозитория на GitHub. OpenNTPD создан в 2004 году для замены демона ntpd, который по лицензионным соображениям пришлось удалить из базовой системы и переместить в порты. Проект обеспечивает поддержку протокола NTP в соответствии с RFC 1305 и RFC 5905, но в отличие от остальных реализаций NTPD развивается с первичной оглядкой на