先日リリースされたNTPDの脆弱性CVE-2014-9295をOS X 10.7 Lionや10.6 Snow Leopardで修正する方法です。詳細は以下から。
2014年12月19日に脆弱性CVE-2014-9295が修正された”ntpd v4.2.8″がリリースされ、AppleもすぐにOS X 10.8 Mountain Lion以上のMacに自動アップデート「OS X NTP Security Update」
Stable Release 4.2.8 is available. download: http://t.co/yKjU2IfhTs #NTP
MacPorts
MacPortsには既に脆弱性を修正したntp v4.2.8が上がっているので
sudo ports install ntp
でインストールして下さい。
configure && make
MacPortsなどが使えない場合は、ntp v4.2.8をダウンロードしてntpd_io.cにOS X用パッチを当て、後は./configure && make。(AskDifferentのMelBさんはmake installはせず、手動で置き換えていますが./configure –prefix=/usrでmake installでもいけるはずです。)
mkdir ntpd-fix cd ntpd-fix curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf - cd ntp-4.2.8/ntpd curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1 cd .. ./configure && make
後は古いntpdをリネームして、先ほどmakeしたntpdを移動し所有者を変更すれば終了です。
関連リンク:
・osx – Disabling NTP on OS X Lion or older – Ask Different
・NTP vulnerability on versions prior to 4.2.8 – Apple Support Communities
・Apple、NTPDの脆弱性CVE-2014-9295を修正した「OS X NTP Security Update」をOS X 10.8~10.10向けにリリース
コメント
こんにちは
参考になりました。ありがとうございます。
ただ、MacPortsインストールコマンドですが、port”s”となっています。
sudo port install ntp
また、MacPortsでインストールしただけでは、ntpdデーモンが利用している、/usr/sbin/ntpd は置き換わらないので、
置き換えるか、
ttp://yuichiro-s.hatenablog.com/entry/2014/08/27/OS_X_10_9_4_Mavericksで時計がズレる%3B_ntpdが正常に動作しない
のように、
/usr/libexec/ntpd-wrapper を編集する必要があるのではないでしょうか。
bugs.ntp.orgダウンロードしたパッチは、「OSX用パッチ」ではなく、問題となった脆弱性の後に
判明した4.2.8に含まれないバグへの汎用のパッチではないでしょうか?