OS X 10.7 Lionや10.6 SnowLeopard搭載のMacでNTPD脆弱性を修正する方法。

スポンサーリンク

 先日リリースされたNTPDの脆弱性CVE-2014-9295をOS X 10.7 Lionや10.6 Snow Leopardで修正する方法です。詳細は以下から。


NTDP-CVE-2014-9295-fix-snowleopard


 2014年12月19日に脆弱性CVE-2014-9295が修正された”ntpd v4.2.8″がリリースされ、AppleもすぐにOS X 10.8 Mountain Lion以上のMacに自動アップデート「OS X NTP Security Update」b.hatenaを適用しましたが、OS X 10.7 Lion以下のMacにはこのアップデートが適用されないため手動で修正する方法をまとめました。


MacPorts

MacPortsには既に脆弱性を修正したntp v4.2.8が上がっているので

sudo ports install ntp

でインストールして下さい。


MacPorts-sudo-install-ntpd

configure && make

 MacPortsなどが使えない場合は、ntp v4.2.8をダウンロードしてntpd_io.cにOS X用パッチを当て、後は./configure && make。(AskDifferentのMelBさんはmake installはせず、手動で置き換えていますが./configure –prefix=/usrでmake installでもいけるはずです。)


NTP-configure-make-install

mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make

後は古いntpdをリネームして、先ほどmakeしたntpdを移動し所有者を変更すれば終了です。

関連リンク:
osx – Disabling NTP on OS X Lion or older – Ask Different

NTP vulnerability on versions prior to 4.2.8 – Apple Support Communities

Apple、NTPDの脆弱性CVE-2014-9295を修正した「OS X NTP Security Update」をOS X 10.8~10.10向けにリリース

コメント

  1. Apple7743 より:

    こんにちは
    参考になりました。ありがとうございます。
    ただ、MacPortsインストールコマンドですが、port”s”となっています。
    sudo port install ntp
    また、MacPortsでインストールしただけでは、ntpdデーモンが利用している、/usr/sbin/ntpd は置き換わらないので、
    置き換えるか、
    ttp://yuichiro-s.hatenablog.com/entry/2014/08/27/OS_X_10_9_4_Mavericksで時計がズレる%3B_ntpdが正常に動作しない
    のように、
    /usr/libexec/ntpd-wrapper を編集する必要があるのではないでしょうか。

  2. Apple7743 より:

    bugs.ntp.orgダウンロードしたパッチは、「OSX用パッチ」ではなく、問題となった脆弱性の後に
    判明した4.2.8に含まれないバグへの汎用のパッチではないでしょうか?