สรุปการตรวจสอบด้านความปลอดภัยของ ntpd, NTPSec และ Chrony จาก Core Infrastructure Initiative
Core Infrastructure Initiative (CII) เป็นโครงการภายใต้ Linux Foundation ซึ่งมีหน้าที่ในการหาทุนและช่วยสนับสนุนโครงการซอฟต์แวร์แบบโอเพนซอร์สหลายโครงการที่มีความสำคัญสูง อาทิ OpenSSL, OpenSSH รวมไปถึง ntpd และ NTPsec ล่าสุด CII ร่วมกับ Mozilla ได้ร่วมกันสนับสนุนทุนเพื่อตรวจสอบซอร์สโค้ดของโครงการซอฟต์แวร์ 3 โครงการที่อิมพลีเมนต์การทำงานของโปรโตคอล NTP ได้แก่ ntpd, NTPSec และ Chrony โดยการตรวจสอบทั้งหมดนั้นถูกดำเนินการโดยบริษัทด้านความปลอดภัย Cure53
สำหรับความปลอดภัยของโปรแกรม ntpd นั้น Cure53 ได้ทำการตรวจสอบ ntpd ในรุ่น 4.2.8p10 ซึ่งมีการเผยแพร่ในเดือนมีนาคม 2017 ด้วยลักษณะของโครงการ ntpd ซึ่งเป็นโครงการซอฟต์แวร์แรกที่อิมพลีเมนตร์การทำงานของโปรโตคอล NTP และมีประวัติการพัฒนายาวนานมากว่า 25 ปี การตรวจสอบด้านความปลอดภัยจึงมีการตรวจพบช่องโหว่กว่า 12 รายการ ( 1 Critical, 2 High, 1 Medium และ 8 Low)
ในขณะเดียวกันโครงการ NTPSec ที่มีการแยกพัฒนาต่อจาก ntpd เพื่อลดความซับซ้อนและแก้ไขปัญหาด้านความปลอดภัยถูกตรวจพบว่ามีช่องโหว่ 7 ช่องโหว่ (3 High, 1 Medium และ 3 Low ) เมื่อเปรียบเทียบกับความก้าวหน้าของโครงการ NTPsec ซึ่งในเวลานี้ยังไม่มีการปล่อยเวอร์ชันเต็ม (1.0) ออกมา NTPSec ยังต้องมีการพัฒนาอีกพอสมควรเพื่อให้สามารถปล่อยซอฟต์แวร์ในรุ่นที่มีความสมบูรณ์มากที่สุดออกมาได้
สำหรับโครงการ Chrony ซึ่งเป็นโครงการที่ไม่ได้มีการพัฒนาต่อมาจาก ntpd เดิมนั้น มีเพียง 2 ช่องโหว่ที่ถูกตรวจพบ โดยทั้งสองช่องโหว่นั้นมีความรุนแรงอยู่ในระดับต่ำ (Low) รายงานจาก Cure53 ยังระบุเพิ่มเติมว่า Chrony เป็นซอฟต์แวร์ที่แข็งแกร่งมากและยังแสดงให้เห็นว่านักพัฒนามีการคำนึงถึงเรื่องความปลอดภัยอยู่ตลอด ซึ่งโดยสรุปแล้ว Chrony เป็นซอฟต์แวร์ที่สมควรได้รับความน่าเชื่อถือในการใช้งาน
ข้อมูลการตรวจสอบพร้อมทั้งรายงานของ Cure53 ฉบับเต็มนั้นสามารถตรวจสอบได้จากแหล่งที่มา
ที่มา : Coreinfrastructure
You must be logged in to post a comment.