e安全4月1日讯 德国安全企业cure53公司的研究人员对网络时间协议（简称ntp）以及ntpsec项目进行了为期32天的审计，并从中发现十余项安全漏洞。
专家们共确定了16项与安全相关的问题，其中包括仅影响ntp的8项安全漏洞以及仅影响ntpsec的2项安全漏洞，这意味着ntp在实施层面迎来了安全、强化与改进。
cure53公司已经发布了多份分别面向ntp与ntpsec相关安全问题的独立报告。
本月早些时候，网络时间基金会已基于ntp-4.2.8p10的发布解决了上述安全漏洞。
cure53公司将其中一项编号为cve-2017-6460的安全漏洞列为高危条目。这一漏洞被描述为当客户端请求限制列表时，恶意服务器可触发一项基于堆栈的缓冲区溢出问题。此项漏洞可被用于引发宕机，甚至可能用于执行任意代码。
另外，漏洞编号cve-2017-6463与cve-2017-6464的这两项漏洞被cure53公司列为危险，二者皆可被用于执行dos攻击。
虽然一部分漏洞被cure3公司分类为高危及危险，但ntp开发人员只对此次发现的漏洞分配了中级、低级与通知级严重程度。
ntp-4.2.8p10补丁存在15项安全漏洞
此次发布的ntp-4.2.8p10补丁共囊括15项安全漏洞，其中亦包含部分非安全性修复与改进。这一最新版本共解决了15项安全漏洞，其中14项由cure53公司所发现。值得一提的是，曾经于2014年12月得到修复的一项安全漏洞于2016年11月被再度提出。
在ntp-4.2.8p10中得到修复的惟一非cure53安全漏洞由思科talos研究人员所报告。专家们发现这项dos安全漏洞会对原始时间戳检查功能造成影响。思科为此专门发布了一篇博文与一篇技术咨询描述此项问题。
除此之外，cure53公司最近还进行了其它一系列审计工作。在过去几个月中，该公司分别对curl数据传输工具与dovecot邮件服务器进行了核查。
e安全注：本文系e安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。e安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考。