В демоне синхронизации точного времени ntpd 4.2.8 устранены критические уязвимости (CVE-2014-9295), вызванные ошибками, приводящими к переполнению буфера в коде функций crypto_recv(), ctl_putdata() и configure(). Отправив специальным образом оформленный пакет, злоумышленник может инициировать отказ в обслуживании или организовать выполнение своего кода в системе с правами процесса ntpd, который обычно выполняется под пользователем ntp.

В настоящее время обновлений пакетов с устранением проблемы не зафиксировано. Оценить появление обновлений в дистрибутивах можно на следующих страницах: openSUSE, SLES, Slackware, Gentoo, CentOS, RHEL 6, RHEL 7, Ubuntu, Debian, Fedora, FreeBSD, NetBSD.