Як виконати виправлення RHEL 4 для вразливих програм в CVE-2014-6271 та CVE-2014-7169?


16

Про механізм віддаленого виконання коду через Bash широко повідомлялося вчора та сьогодні (24 вересня 2014 р.) Http://seclists.org/oss-sec/2014/q3/650 Повідомляється як CVE-2014-7169 або CVE-2014 -6271

З причин, занадто дурних для мене, щоб публічно пояснювати, я несу відповідальність за сервер, на якому працює RHEL 4 і без передплати на оновлення. Я міг би побудувати клона, щоб перевірити це, але сподіваюся, у когось буде пряма відповідь.

  1. Чи було виправлено / bin / bash від Centos 4, чи це буде?
  2. Чи можу я просто встромити (імовірно зафіксований) Centos 4 / bin / bash в мою систему RHEL як спосіб вирішення, який придбає мене кілька тижнів? (Мені потрібно до 10 грудня)

Відповіді:


21

Патч Oracle надав для el4:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Оскільки це src RPM, вам потрібно потім компілювати rpmbuild.

або скористайтеся цим посиланням, щоб уникнути збірки

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Я перевірив його на системі 4,9 i386, пройшов тест експлуатації, який я маю. (Тед)


1
Остання версія версії 3.0-27.0.2 : oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (джерело) та public-yum.oracle.com/repo/ EnterpriseLinux / EL4 / найновіший / i386 /… (i386) - це, здається, також усуває проблему CVE-2014-7169 (перевірена кодом від access.redhat.com/articles/1200223 ).
Дейв Джеймс Міллер

Oracle щойно вийшов назустріч моїй книзі.
Стів Келет

Так, згідно з oracle.com/us/support/library/… , Linux 4 підтримується лише до лютого 2013 року. Вони, мабуть, зробили виняток. Дуже круто.
clacke

Ці пакети також працюють для Fedora Core 3 та Fedora Core 4.
Gene


20

Мені довелося виправити старий сервер CentOS 4.9, тому я витягнув останню RPM джерела з FTP Red Hat і додав патч висхідного потоку від GNU FTP. Крок нижче:

Спочатку виконайте процедуру "Налаштування" з http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Потім запустіть наступні команди зі свого% _topdir:

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Патч SPECS / bash.spec з цією різницею:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Потім закінчіть ці команди:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Редагувати: Останні коментарі Bugzilla Red Hat стверджують, що виправлення неповне. Новий ідентифікатор - CVE-2014-7169.

Редагувати: Є два додаткові виправлення з gnu.org, тому також завантажте їх у той самий каталог ДЖЕРЕЛА:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Потім також відредагуйте SPECS / bash.spec так (нумерація "Release" необов'язково):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

1
+1 за крок за кроком, щоб ми не забули, як це зробити.
Стів Келет

14

RHEL 4 перебуває у фазі "продовженого терміну служби", а оновлення безпеки буде доступне лише платним клієнтам. CentOS 4 не підтримується з березня 2012 року. З цього часу більше недоступних оновлень.

Ваші єдині варіанти - це

  • Придбайте договір підтримки з RedHat
  • Спробуйте створити власний пакет для Bash.
  • Або виграшний варіант: витягніть цю машину і використовуйте цю проблему безпеки як стимул до цього.

4
Дякую. Оскільки я тут використав своє справжнє ім'я, я не можу публічно пояснити, чому я не можу вийти на пенсію з машини до 10 грудня. Я підтримав вашу відповідь і дякую. Я прийму це, якщо швидше ніхто не прийде на допомогу.
Боб Браун

2
@BobBrown Що? Ви фактично використовували вигадане ім’я, яке я використовую для своїх адміністративних акаунтів. Дивно.
HopelessN00b

6
Я звинувачую своїх батьків.
Боб Браун

2

Ласкава душа на ім'я Льюїс Розенталь розмістила оновлений Bash RPMS для CentOS 4 на своєму FTP-сервері . Вважається, що bash-3.0-27.3 RPM стосується CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 та CVE-2014-7187. У нього є README з більшою інформацією, і на форумах CentOS були певні дискусії . Не забувайте цей корисний сценарій перевірки "все в одному" - зауважте, що перевірка CVE-2014-7186 не вдасться із помилкою сегментації, але все одно вважається, що це добре, оскільки деякі інші тести на цю вразливість виявляються нормальними.

Я б сказав, або слідувати @ tstaylor7 «s інструкції , щоб створити свою власну виправлену RPM з джерела або встановити вище. Коли я намагався, вони обоє мали однакові результати в цьому скрипті перевірки.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.