3月21日(米国時間)、「March 2017 ntp-4.2.8p10 NTP Security Vulnerability Announcement|SecurityNotice|NTP」において、複数の脆弱性を修正したntpの最新版「ntp-4.2.8p10」の公開が伝えられた。修正対象となった脆弱性には、DoS攻撃を引き起こすものが含まれており注意が必要。該当するソフトウェアを使用している場合は迅速にアップデートを適用することが望まれる。
ntpはインターネットを経由して精確な時刻同期を実現するためのソフトウェア。さまざまなシーンで活用されている重要度の高いソフトウェアだが、相次いで脆弱性が発見されている。これまで何度かntpのセキュリティを強化しようとする取り組みは行われてきたが、大きな成果を収めることはできておらず、現状のまま開発が継続されている。
ntpの開発を実施している人的リソースがそもそも限られているため開発が不十分であること、これまで主に携わってきた開発者以外がメンテナンスを行うにはコードが複雑すぎることなどが指摘されており、ntpそのものを改善して利用することに懐疑的な見方をするプログラマーもいる。
代替候補にはNTPsecなどがあり、より安全だとされている。NTPsecは同日、最新版となる「NTPsec version 0.9.7」が公開されている。NTPsecの初のメジャーバージョンリリースはそう遠くない時期に実施されると見られており、NTPsecのメジャーバージョンがリリースされた後はntpの置き換えソフトウェアとしてNTPsecが普及する可能性がある。
