德国安全企业Cure53公司的研究人员对网络时间协议（简称NTP）以及NTPsec项目进行了为期32天的审计，并从中发现十余项安全漏洞。

专家们共确定了16项与安全相关的问题，其中包括仅影响NTP的8项安全漏洞以及仅影响NTPsec的2项安全漏洞，这意味着NTP在实施层面迎来了安全、强化与改进。

Cure53公司已经发布了多份分别面向NTP与NTPsec相关安全问题的独立报告。

本月早些时候，网络时间基金会已基于ntp-4.2.8p10的发布解决了上述安全漏洞。

Cure53公司将其中一项编号为CVE-2017-6460的安全漏洞列为高危条目。这一漏洞被描述为当客户端请求限制列表时，恶意服务器可触发一项基于堆栈的缓冲区溢出问题。此项漏洞可被用于引发宕机，甚至可能用于执行任意代码。

另外，漏洞编号CVE-2017-6463与CVE-2017-6464的这两项漏洞被Cure53公司列为危险，二者皆可被用于执行DoS攻击。

虽然一部分漏洞被Cure3公司分类为高危及危险，但NTP开发人员只对此次发现的漏洞分配了中级、低级与通知级严重程度。

　　ntp-4.2.8p10补丁存在15项安全漏洞

此次发布的ntp-4.2.8p10补丁共囊括15项安全漏洞，其中亦包含部分非安全性修复与改进。这一最新版本共解决了15项安全漏洞，其中14项由Cure53公司所发现。值得一提的是，曾经于2014年12月得到修复的一项安全漏洞于2016年11月被再度提出。

在ntp-4.2.8p10中得到修复的惟一非Cure53安全漏洞由思科Talos研究人员所报告。专家们发现这项DoS安全漏洞会对原始时间戳检查功能造成影响。思科为此专门发布了一篇博文与一篇技术咨询描述此项问题。

除此之外，Cure53公司最近还进行了其它一系列审计工作。在过去几个月中，该公司分别对cURL数据传输工具与Dovecot邮件服务器进行了核查。