<div dir="ltr"><div dir="ltr" class="gmail_msg"><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">The NTPsec Project is pleased to announce the tagging of version 0.9.7.</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p2 gmail_msg" style="color:rgb(33,33,33);font-size:13px">The code size has been further reduced, to 60KLOC.<br class="gmail_msg"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg"></span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p2 gmail_msg" style="color:rgb(33,33,33);font-size:13px">A shell script, buildprep, has been added to the top level source directory. It prepares your system for an NTPsec source build by installing all required dependencies on the build host.</p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p2 gmail_msg" style="color:rgb(33,33,33);font-size:13px">Extra digits of precision are now output in numerous places.<span class="inbox-inbox-m_-7151269800094534747inbox-inbox-Apple-converted-space gmail_msg"> <span class="inbox-inbox-Apple-converted-space"> </span></span>The driftfile now output 6 digits past the decimal point instead of 3.<span class="inbox-inbox-m_-7151269800094534747inbox-inbox-Apple-converted-space gmail_msg"> <span class="inbox-inbox-Apple-converted-space"> </span></span>The stats files now output 9 digits past the decimal point instead of 6 for some fields. ntpq and ntpmon also report extra digits of precision in multiple places.<span class="inbox-inbox-m_-7151269800094534747inbox-inbox-Apple-converted-space gmail_msg"> <span class="inbox-inbox-Apple-converted-space"> </span></span>These changes may break simple parsing scripts.</p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p2 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">Four contrib programs</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">: cpu-temp-log; smartctl-temp-log, temper-temp-log, </span>and zone-temp-log; have been combined into the new program ntplogtemp. The new program allows for easy logging of system temperatures and is installed by default.</p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">The SHM refclock no longer limits the value of SHM time by default. </span>This allows SHM to work on systems with no RTC by default.</p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">The following CVEs revealed by a Mozilla penetration test and reported in </span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">CERT VU#325339 have been resolved</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s3 gmail_msg">:</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p3 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s3 gmail_msg"><br class="gmail_msg"></span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">CVE-2017-6464</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">: Denial of Service via Malformed Config</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">CVE-2017-6463</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">: Authenticated DoS via Malicious Config Option</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">CVE-2017-6458</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">: Potential Overflows in ctl_put() functions</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">CVE-2017-6451</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">: Improper use of snprintf() in mx4200_send()</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p2 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg"></span><br class="gmail_msg"></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">The following CVEs, announced simultaneously, affected NTP Classic but </span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">not NTPsec, because we had already removed the attack surface</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s3 gmail_msg">:</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p2 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg"></span><br class="gmail_msg"></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">CVE-2017-6462</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">: Buffer Overflow in DPTS Clock</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">CVE-2017-6455</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">: Privileged execution of User Library code</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">CVE-2017-6452</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">: Stack Buffer Overflow from Command Line</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">CVE-2017-6459</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">: Data Structure terminated insufficiently</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p3 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s3 gmail_msg"></span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">CVE-2017-6460</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">: Buffer Overflow in ntpq when fetching reslist</span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg"><br class="gmail_msg"></span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">We gratefully acknowledge the work of of Dr.-Ing. Mario Hederich </span>at Cure53 in detecting these problems and his cooperation in resolving them.</p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p2 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><br class="gmail_msg"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg"></span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">As always, you can download the release tarballs with sums and signatures </span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">from ftp</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">://<a href="http://ftp.ntpsec.org/pub/releases/" class="gmail_msg" target="_blank">ftp.ntpsec.org/pub/releases/</a></span></p><p class="inbox-inbox-m_-7151269800094534747inbox-inbox-p1 gmail_msg" style="color:rgb(33,33,33);font-size:13px"><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">and can clone the git repo </span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s2 gmail_msg">from https</span><span class="inbox-inbox-m_-7151269800094534747inbox-inbox-s1 gmail_msg">://<a href="http://gitlab.com/NTPsec/ntpsec.git" class="gmail_msg" target="_blank">gitlab.com/NTPsec/ntpsec.git</a></span></p>//end</div><div dir="ltr" class="gmail_msg"><br></div></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature"><div dir="ltr">Mark Atwood<div><a href="http://about.me/markatwood">http://about.me/markatwood</a><div>+1-206-604-2198 SMS & Signal</div></div></div></div>