В демоне синхронизации точного времени ntpd 4.2.8 устранены критические уязвимости (CVE-2014-9295), вызванные ошибками, приводящими к переполнению буфера в коде функций crypto_recv(), ctl_putdata() и configure(). Отправив специальным образом оформленный пакет, злоумышленник может инициировать отказ в обслуживании или организовать выполнение своего кода в системе с правами процесса ntpd, который обычно выполняется под пользователем ntp. Проблемы выявлены сотрудниками Google в процессе аудита кодовой базы ntpd.

Уязвимость в crypto_recv() проявляется при включении в ntp.conf режима Autokey Authentication через директивы "crypto pw...". Для защиты следует отключить в конфигурации все директивы, начинающиеся со слова "crypto". При этом, так как аналогичные проблемы в ctl_putdata() и configure() проявляются при любой конфигурации, защититься от всех уязвимостей можно только обновив ntpd до версии 4.2.8 или установив патч.

В настоящее время обновлений пакетов с устранением проблемы не зафиксировано. Оценить появление обновлений в дистрибутивах можно на следующих страницах: openSUSE, SLES, Slackware, Gentoo, CentOS, RHEL 6, RHEL 7, Ubuntu, Debian, Fedora, FreeBSD, NetBSD.

Дополнение 1: поступили сведения о появлении в открытом доступе эксплоита. Рекомендуется срочно обновить ntpd.

Дополнение 2: Развиваемый проектом OpenBSD демон OpenNTPD не подвержен уязвимости.

Источник: http://www.opennet.ru/opennews/art.shtml?num=41309