dist/ntp/NEWS

   1 NTP 4.2.4p7 (Harlan Stenn <stenn@ntp.org>, 2009/05/04)
   2
   3 Focus: Security and Bug Fixes
   4
   5 Severity: HIGH
   6
   7 This release fixes the following high-severity vulnerability:
   8
   9 * [Sec 1151] Remote exploit if autokey is enabled.  CVE-2009-1252
  10
  11   See http://support.ntp.org/security for more information.
  12
  13   If autokey is enabled (if ntp.conf contains a "crypto pw whatever"
  14   line) then a carefully crafted packet sent to the machine will cause
  15   a buffer overflow and possible execution of injected code, running
  16   with the privileges of the ntpd process (often root).
  17
  18   Credit for finding this vulnerability goes to Chris Ries of CMU.
  19
  20 This release fixes the following low-severity vulnerabilities:
  21
  22 * [Sec 1144] limited (two byte) buffer overflow in ntpq.  CVE-2009-0159
  23   Credit for finding this vulnerability goes to Geoff Keating of Apple.
  24
  25 * [Sec 1149] use SO_EXCLUSIVEADDRUSE on Windows
  26   Credit for finding this issue goes to Dave Hart.
  27
  28 This release fixes a number of bugs and adds some improvements:
  29
  30 * Improved logging
  31 * Fix many compiler warnings
  32 * Many fixes and improvements for Windows
  33 * Adds support for AIX 6.1
  34 * Resolves some issues under MacOS X and Solaris
  35
  36 THIS IS A STRONGLY RECOMMENDED UPGRADE.
  37
  38 ---
  39 NTP 4.2.4p6 (Harlan Stenn <stenn@ntp.org>, 2009/01/07)
  40
  41 Focus: Security Fix
  42
  43 Severity: Low
  44
  45 This release fixes oCERT.org's CVE-2009-0021, a vulnerability affecting
  46 the OpenSSL library relating to the incorrect checking of the return
  47 value of EVP_VerifyFinal function.
  48
  49 Credit for finding this issue goes to the Google Security Team for
  50 finding the original issue with OpenSSL, and to ocert.org for finding
  51 the problem in NTP and telling us about it.
  52
  53 This is a recommended upgrade.
  54 ---
  55 NTP 4.2.4p5 (Harlan Stenn <stenn@ntp.org>, 2008/08/17)
  56
  57 Focus: Minor Bugfixes
  58
  59 This release fixes a number of Windows-specific ntpd bugs and
  60 platform-independent ntpdate bugs. A logging bugfix has been applied
  61 to the ONCORE driver.
  62
  63 The "dynamic" keyword and is now obsolete and deferred binding to local
  64 interfaces is the new default. The minimum time restriction for the
  65 interface update interval has been dropped.
  66
  67 A number of minor build system and documentation fixes are included.
  68
  69 This is a recommended upgrade for Windows.
  70
  71 ---
  72 NTP 4.2.4p4 (Harlan Stenn <stenn@ntp.org>, 2007/09/10)
  73
  74 Focus: Minor Bugfixes
  75
  76 This release updates certain copyright information, fixes several display
  77 bugs in ntpdc, avoids SIGIO interrupting malloc(), cleans up file descriptor
  78 shutdown in the parse refclock driver, removes some lint from the code,
  79 stops accessing certain buffers immediately after they were freed, fixes
  80 a problem with non-command-line specification of -6, and allows the loopback
  81 interface to share addresses with other interfaces.
  82
  83 ---
  84 NTP 4.2.4p3 (Harlan Stenn <stenn@ntp.org>, 2007/06/29)
  85
  86 Focus: Minor Bugfixes
  87
  88 This release fixes a bug in Windows that made it difficult to
  89 terminate ntpd under windows.
  90 This is a recommended upgrade for Windows.
  91
  92 ---
  93 NTP 4.2.4p2 (Harlan Stenn <stenn@ntp.org>, 2007/06/19)
  94
  95 Focus: Minor Bugfixes
  96
  97 This release fixes a multicast mode authentication problem,
  98 an error in NTP packet handling on Windows that could lead to
  99 ntpd crashing, and several other minor bugs. Handling of
 100 multicast interfaces and logging configuration were improved.
 101 The required versions of autogen and libopts were incremented.
 102 This is a recommended upgrade for Windows and multicast users.
 103
 104 ---
 105 NTP 4.2.4 (Harlan Stenn <stenn@ntp.org>, 2006/12/31)
 106
 107 Focus: enhancements and bug fixes.
 108
 109 Dynamic interface rescanning was added to simplify the use of ntpd in
 110 conjunction with DHCP. GNU AutoGen is used for its command-line options
 111 processing. Separate PPS devices are supported for PARSE refclocks, MD5
 112 signatures are now provided for the release files. Drivers have been
 113 added for some new ref-clocks and have been removed for some older
 114 ref-clocks. This release also includes other improvements, documentation
 115 and bug fixes.
 116
 117 K&R C is no longer supported as of NTP-4.2.4. We are now aiming for ANSI
 118 C support.
 119
 120 ---
 121 NTP 4.2.0 (Harlan Stenn <stenn@ntp.org>, 2003/10/15)
 122
 123 Focus: enhancements and bug fixes.