NTP Sicherheitspatch für älterre Systeme?

[Tzunami]

Huhu,

Ich wollte mal in die Runde Fragen ob jemand eine möglichkeit kennt, den NTP bug auch in älteren systemen zu beseitigen?

Für Shellshock konnte man bei alten Systemen ja auch die bash durch eine neue austauschen:

http://www.macissues.com/2014/09/25...x-the-shell-shock-bash-vulnerability-in-os-x/

http://tenfourfox.blogspot.de/2014/09/bashing-bash-one-more-time-updated.html

 

[oneOeight]

bei NTP hat apple einige patches gemacht für OS X, hab gerade mal versucht die aktuelle version in die apple sourcen für 10.6.8 rein zu packen.
es geht im prinzip so:
bei opensource.apple.com die ntp sourcen laden und die aktuelle version von ntp.org
dann die ntp.org sourcen in den ausgepackten ordner und das Makefile anpassen.
für 10.6.8 musste ich zwei zeilen auskommentieren.

gibt aber noch jede menge fehler bei den patches, ggf. wäre es wohl einfacher eine neuere version der apple sourcen zu laden.

 

[Tzunami]

bei NTP hat apple einige patches gemacht für OS X, hab gerade mal versucht die aktuelle version in die apple sourcen für 10.6.8 rein zu packen.
es geht im prinzip so:
bei opensource.apple.com die ntp sourcen laden und die aktuelle version von ntp.org
dann die ntp.org sourcen in den ausgepackten ordner und das Makefile anpassen.
für 10.6.8 musste ich zwei zeilen auskommentieren.

gibt aber noch jede menge fehler bei den patches, ggf. wäre es wohl einfacher eine neuere version der apple sourcen zu laden.

Für 10.4 und 10.5 PPC habe ich überarbeitet Versionen gefunden.

http://tenfourfox.blogspot.de/2014/12/time-time-time-see-whats-become-of-ntpd.html

Wäre nett wenn du mir bei 10.6 etwas helfen könntest, ich bin nicht so der Compiler^^
Wenn ich was kompiliere gibt es fast immer Fehlermeldungen. Nur Gnupg und JohntheRipper konnte ich bisher erfolgreich selber kompilieren, sonst kommen in der regel immer die Fehler die keiner je gehabt hat

 

[oneOeight]

ich muss gerade erst einmal selber friemeln mit den patches.

die 10.8.5 apple source kompiliert übrigens ohne probleme, allerdings gibt es da noch nicht die gepatchte 77.1.1 zu laden.
könnte ggf. also einfacher sein, die zu nehmen, statt die 10.6.8 source zu patchen…

 

[Tzunami]

ich muss gerade erst einmal selber friemeln mit den patches.

die 10.8.5 apple source kompiliert übrigens ohne probleme, allerdings gibt es da noch nicht die gepatchte 77.1.1 zu laden.
könnte ggf. also einfacher sein, die zu nehmen, statt die 10.6.8 source zu patchen…

Wäre nett wenn du dann deine endgültige Lösung mitteilen würdest

 

[tocotronaut]

Hier steht die lösung: http://www.heise.de/newsticker/meld...opard-und-aeltere-OS-X-Versionen-2506343.html

Am einfachsten ist es die automatische zeitsynchronisierung in sen systemeinstellungen abzuschalten...

 

[Macothan]

Hallo,

auf http://tenfourfox.blogspot.de/2014/12/time-time-time-see-whats-become-of-ntpd.html interessante Lektüre zu diesem Thema, deren Richtigkeit ich als Laie allerdings nicht beurteilen kann. Vielleicht kann einer der Experten dazu etwas sagen...

Gruß Macothan

Edit: Sorry, habe übersehen, daß der Link schon in Post 3 aufgeführt war....

 

[Macothan]

Hallo,

noch mehr Lesestoff zu diesem Thema: http://apple.stackexchange.com/questions/163446/how-to-install-the-2014-ntp-security-fix-on-10-6-8-snow-leopard?lq=1; wer kann sich dazu äußern...

Gruß Macothan

 

[oneOeight]

wie gesagt, apple hat normal einige patches rein gepflegt in den stock NTP.
darunter wären:
Build fixes
Map getaddrinfo EAI_NONAME to EAI_AGAIN
Use DNS txt record for configuration options
Don't bind ipv6 if interface is still tentative
Instant off and reduced disk i/o
Defer first log till after log level is set
Force a timesync after each machine wakeup
Turn off DEBUG in kod_managment.c
Fix sntp -4/-6 option

ist jetzt natürlich die frage, in wie weit der "normale" NTP sich in OS X so einfügt…

 

[Macothan]

wie gesagt, apple hat normal einige patches rein gepflegt in den stock NTP.
.......
ist jetzt natürlich die frage, in wie weit der "normale" NTP sich in OS X so einfügt…

Hallo,

danke, das kapier sogar ich als Laie ; inzwischen gibt es auf https://discussions.apple.com/thread/6739506?tstart=0 einen Link zu einem dmg.-Installer für den ntp-Fix für OS 10.6 - für mutige User, ohne Gewähr....

Gruß Macothan

 

[Tzunami]

Ich bin jetzt nach diesem Guide vorgegangen, bisher scheint alles ohne Probleme zu funktionieren.

http://www.macissues.com/2014/12/24/how-to-manually-patch-ntp-for-os-x-10-6-and-10-7/

 

[Tzunami]

Hier übrigens ein Blogbeitrag (wird aktuell gehalten) über Sicherheitlücken von alten OSX Versionen und wie man sie beseitigt:

http://ppcluddite.blogspot.de/2014/12/os-x-powerpc-security-holes-katy-perry.html

 

[KOJOTE]

Bei Eingabe im Terminal von
"ntpd --version"

erhalte ich den Hinweis, dass ich updaten soll, da Version 4.2.4 vorhanden ist und min. 4.2.8 nötig w.

Wer ich nicht als "Developer" registriert ist, kann ich die "aktuelle" XCode 3.2 bzw. 3.2.6 nicht laden.

Wie geht man am besten weiter vor, wenn man das so machen will wie in den Links beschrieben?

Dies habe ich unabhängig schon gemacht:

- Safari > Einstellungen > Java deaktivieren (ja)

- Firefox an Stelle von Safari nutzen (ja)

- Systemeinstellungen > Datum & Uhrzeit > "Automatische Aktualisierung von Datum und Uhrzeit" abstellen (ja)

 

[Tzunami]

Bei Eingabe im Terminal von
"ntpd --version"

erhalte ich den Hinweis, dass ich updaten soll, da Version 4.2.4 vorhanden ist und min. 4.2.8 nötig w.

Wer ich nicht als "Developer" registriert ist, kann ich die "aktuelle" XCode 3.2 bzw. 3.2.6 nicht laden.

Wie geht man am besten weiter vor, wenn man das so machen will wie in den Links beschrieben?

Dies habe ich unabhängig schon gemacht:

- Safari > Einstellungen > Java deaktivieren (ja)

- Firefox an Stelle von Safari nutzen (ja)

- Systemeinstellungen > Datum & Uhrzeit > "Automatische Aktualisierung von Datum und Uhrzeit" abstellen (ja)

Dann registriere dich doch kostenlos als Developer, dann kannst du die Tools laden. Möglicherweise kannst du die Tools auch einfach mit der Apple ID laden.

Hier ist der Zugangslink, ich hatte mich glaube ich nur mit einer Apple ID registriert, kann aber mit beiden in den Entwicklerbereich. Wenn es nicht geht, den Register Button drücken.
https://idmsa.apple.com/IDMSWebAuth...cbea0110d07f757&path=//downloads/index.action