如何将ntpd更新为最新版本以修补最新漏洞？

Question

本周，网络时间协议Daemon (ntpd)上的新的攻击被演示为见这篇论文。这可能会对我的HTTPS网站或其他我正在运行的时间敏感服务造成严重破坏。

根据本文，为了保持安全，客户端和服务器都应该至少运行NTP版本4.2.8p4。

在我的UbuntuServer14.04.3LTS机器上运行ntpd --version会给我ntpd 4.2.6p5，它仍然是脆弱的。这甚至是在运行apt-get update、apt-get upgrade和apt-get dist-upgrade之后。

显然，我可以自己从ntp.org下载最新版本。但我不确定这是否会与我通过apt-get完成的现有ntpd安装发生冲突。此外，他们只通过HTTP提供下载，他们确保真实性的方法是使用MD5哈希校验和.我期待着我的国安局备份补丁。我真希望人们能用GPG签名。

1. Ubuntu是否计划在短期内发布一个安全补丁，将ntpd升级到4.2.8p4？需要什么才能得到修复？
2. 如果我阅读了代码，并假设ntp.org网站上可供下载的4.2.8p4版本是值得信赖的，那么我如何才能在没有冲突的情况下安装它呢？

Answer 1

1. 安装checkinstall，读取man checkinstall，并使用checkinstall跟踪安装的文件。
2. 下载、构建和安装您需要的ntpd版本，覆盖Ubuntu的版本。检查是否可以make uninstall (通过读取Makefile)，或者跟踪安装的文件。
3. 当Ubuntu将ntpd更新到或超过所需的版本时，返回到源目录和make uninstall。然后，sudo apt-get install --reinstall ntpd应该使您重新与正式版本同步。

注:我没有试过这个，所以我可能错了。