Специалисты Google обнаружили уязвимости в Network Time Protocol
3Иллюстрация с сайта Resources.Infosecinstitute.Com
В протоколе Network Time Protocol (NTP) специалисты из компании Google обнаружили несколько уязвимостей, они затрагивают проекты, использующие его, в том числе свободный ntpd.
Network Time Protocol (NTP) — это протокол для синхронизации локального времени по сети. NTP один из старейших протоколов, он разработан в 1985 году и продолжает развиваться. Теперь — Нил Мехта (Neel Mehta) и Стивен Роэтгер (Stephen Roettger) — исследователи из команды безопасности Google нашли уязвимости (ICSA-14-353-01) и в нём. Угрозе подвержены проекты, использующие NTP до версии 4.2.8.
Выявленные уязвимости могут быть использованы удалённо, ICS-CERT указывает — для эксплуатации достаточно низкой квалификации атакующего. При этом эксплуатация позволяет злоумышленникам выполнить произвольный код с привилегиями демона ntpd. Среди уязвимостей Network Time Protocol называются недостаточная энтропия, использование криптографически слабого PNRG, переполнения буфера в стеке и отсутствующие возвраты при ошибках. Подробнее на сайте ICS-CERT.
Постоянная ссылка к новости: http://www.nixp.ru/news/13040.html. Никита Лялин по материалам phoronix.com, Ics-cert.Us-cert.Gov.
Canonical пропатчила ядра четырех Ubuntu — все обновления уже в репозиториях
Уязвимостью SambaCry воспользовались для майнинга криптовалюты Monero на Linux-компьютерах
В Samba 4.4.2, 4.3.8 и 4.2.11 исправили критическую Windows-уязвимость Badlock 1
В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800) 3
В библиотеке glibc обнаружена критическая уязвимость CVE-2015-7547 3 3
Уязвимость в ядре Linux для повышения привилегий CVE-2016-0728: эксплоит и патчи 2
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Протокол — это не «проект с открытым кодом». Его конкретные реализации — да.
fixed
Да, что вы, ей богу. Звучит же классно =)
Дело не в том, что я не подумал об этом, или не различаю протокол и реализацию. Моя ошибка в том, что я использую кальку с английского — Open Source. Авторы англоязычных материалов пишут его для обозначения всего, что может быть открыто. Часто по отношению к железу вместо Open Hardware, часто для обозначения открытого подхода в разработке или организации чего угодно. Для меня привычно понимать это из контекста. Думаю и другим это знакомо, и если бы Дмитрий не обратил внимания, все бы прекрасно поняли о чём речь =)
да, полностью согласен.
Поняли бы и поржали.
В принципе, корявость переводов, чаще всего и заставляет обращаться к первоисточникам, чтобы понять что всё таки хотели рассказать нам автор исходной статьи.
И да, я согласен с вами, нюансов в английской речи много, поэтому при переводе шашкой махать не следует.
Но по неписаному правилу интернета: «Админ всегда прав».
Отдельное спасибо, должен выразить редакции за то, что не забывает поставить ссылку на первоисточник для получения полной и правильной информации, для желающих.
Новость не добавляется, если источник не указать :)