NTP 服务进程修复了一大波安全漏洞，请尽快升级

US-CERT 披露，在 ntpd 中最近发现了大量安全缺陷。ntpd 是网络时间协议 NTP 的服务进程，绝大多数的服务器和各种设备都采用它来处理时间相关的任务。虽然有多种 NTP 的服务进程，但是我们一般说的都是指 NTP.org 的 ntpd 服务进程，它也是大部分服务器和设备所用的版本。在今年的一月和四月它分别修复了两大批安全漏洞。据 Cisco 说，一些漏洞会导致 DoS 攻击或者甚至跳过认证过程。Cisco 是负责推动对 NTP 进行安全评估的 Linux 基金会核心基础架构计划（Linux Foundation Core Infrastructure Initiative）的成员。由于各种智能设备都需要时间相关的功能，所以很多的设备都采用了 NTP 协议及 NTP.org 的服务进程，以确保系统时钟同步一致。在这个协议中发现的安全问题是非常严重的，因为这会让攻击者非常容易地造成破坏。

NTP ——通向各个网络

在两周前，两位安全研究人员发现了 NTP 服务进程中的安全缺陷，他们已经开发了一个通过网络进行攻击的漏洞验证程序，并使用它来模仿 NTP 通讯，从而可以利用臭名昭著的 1970 漏洞让 iOS 设备变砖！除了这个漏洞缺陷之外，Web 安全厂商也都知道， NTP 协议也是最常见的发起 DDoS 攻击的方式之一。US-CERT 提请网站管理员和系统管理员们对此引起重视，并打上最新的补丁。该组织已经列出了受到 NTP.org 的 ntpd 服务进程中安全漏洞影响的厂商名称，多达 75 家，这里包括苹果、思科、谷歌和 VMWare 等等著名厂商。管理员们应该尽快升级其设备固件和服务器软件到最新的版本（4.2.8p7）。CentOS NTP服务器安装与配置 http://www.linuxidc.com/Linux/2014-01/95258.htmLinux实战部署系列之NTP服务器 http://www.linuxidc.com/Linux/2013-11/92275.htm多种操作系统NTP客户端配置 http://www.linuxidc.com/Linux/2013-10/91928.htm搭建企业级NTP时间服务器 http://www.linuxidc.com/Linux/2014-02/97205.htmLinux下快速搭建ntp时间同步服务器 http://www.linuxidc.com/Linux/2014-07/104371.htmCentOS 6.3 下实现NTP时间服务器 http://www.linuxidc.com/Linux/2014-08/105414.htm