CVE-2014-6271 ve CVE-2014-7169'daki bash güvenlik açıkları için RHEL 4'ü nasıl eklerim?

16

Bash aracılığıyla uzaktan kod çalıştırma için bir mekanizma yaygın dün ve bugün (24 Eylül 2014) rapor edilmiştir http://seclists.org/oss-sec/2014/q3/650 CVE-2014-7169 veya CVE-2014 olarak bildirildi -6271

Halka açıklamak için çok aptalca nedenlerden dolayı, RHEL 4 çalıştıran ve güncelleme aboneliği olmayan bir sunucudan sorumluyum. Bunu test etmek için bir klon yapabilirim, ama umarım birisinin doğrudan bir cevabı olur.

  1. Centos 4'ten / bin / bash yamalanmış mı, yoksa olacak mı?
  2. RHEL sistemime (muhtemelen yamalı) Centos 4 / bin / bash'ı birkaç hafta satın alacak bir geçici çözüm olarak yerleştirebilir miyim? (10 Aralık'a kadar ihtiyacım var)
centos  bash  exploit  rhel4 
Bob Brown
kaynak

Yanıtlar:

21

Oracle tarafından el4 için bir yama sağlandı:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Bir src RPM olduğundan, derlemeniz gerekir rpmbuild.

veya derlemeyi önlemek için bu bağlantıyı kullanın

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

4.9 i386 sisteminde test ettim, sahip olduğum istismar testini geçtim. (Ted)

Jina Martin
kaynak
1
En son sürüm şimdi 3.0-27.0.2 : oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (kaynak) & public-yum.oracle.com/repo/ EnterpriseLinux / EL4 / latest / i386 /… (i386) - bu, CVE-2014-7169 sorununu da düzeltiyor gibi görünüyor ( access.redhat.com/articles/1200223 koduyla test edilmiştir ).
Dave James Miller
Oracle kitabımda bir adım daha yükseldi.
Steve Kehlet
Huh, oracle.com/us/support/library/… 'a göre , Linux 4 sadece Şubat 2013'e kadar destekleniyor. Bir istisna yapmış olmalılar. Çok havalı.
clacke
Bu paketler ayrıca Fedora Core 3 ve Fedora Core 4 için de çalışır.
Gene
Liam
20

Eski bir CentOS 4.9 sunucusunu yamalamak zorunda kaldım, bu yüzden Red Hat FTP'den en son kaynak RPM'yi aldım ve GNU FTP'den yukarı doğru yama ekledim. Adımlar aşağıdadır:

İlk olarak, http://bradthemad.org/tech/notes/patching_rpms.php adresinden "Kurulum" prosedürünü izleyin :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Ardından% _topdir komutunuzdan aşağıdaki komutları çalıştırın: 

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Bu farkla SPECS / bash.spec düzeltme eki:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Ardından şu komutlarla bitirin:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Edit: Red Hat Bugzilla'daki son yorumlar yamanın eksik olduğunu söylüyor. Yeni kimlik CVE-2014-7169'dur.

Düzenleme: gnu.org'dan iki ek yama vardır, bu yüzden bunları aynı KAYNAKLAR dizinine indirin:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Ardından SPECS / bash.spec dosyasını aşağıdaki gibi düzenleyin (isteğe bağlı "Sürüm" numaralandırma):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019
tstaylor7
kaynak
1
Bunu adım adım nasıl yapacağımızı unutalım.
Steve Kehlet
14

RHEL 4 , "uzun ömürlü" aşamasındadır ve güvenlik güncellemeleri yalnızca ücretli müşteriler tarafından kullanılabilir. CentOS 4 , Mart 2012'den beri desteklenmiyor. Bu tarihten bu yana başka güncelleme yok.

Tek seçenekleriniz

  • RedHat ile bir destek sözleşmesi satın alın
  • Bash için kendi paketinizi oluşturmaya çalışın.
  • Veya kazanan seçenek: Bu makineyi kullanımdan kaldırın ve bu güvenlik sorununu teşvik etmek için kullanın.
Sven
kaynak
4
Teşekkür ederim. Burada gerçek ismimi kullandığım için, 10 Aralık'tan önce makineyi neden emekli olamadığımı açıklayamıyorum. Ditto, neden sözleşmesiz üç versiyonu. Cevabınızı iptal ettim ve teşekkürler. Yakında kimse kurtarmazsa kabul edeceğim.
Bob Brown
2
@BobBrown Ne? Aslında yönetim hesaplarım için kullandığım kurgusal adı kullandınız. Tuhaf.
HopelessN00b
6
Ailemi suçluyorum.
Bob Brown
2

Lewis Rosenthal adlı nazik bir ruh, FTP sunucusuna CentOS 4 için güncellenmiş Bash RPMS'yi yerleştirdi . Bash-3.0-27.3 RPM'nin CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 ve CVE-2014-7187'ye hitap ettiğine inanılmaktadır. Daha fazla bilgi içeren bir README'si var ve CentOS forumları hakkında bazı tartışmalar vardı. Unutmayın bu yararlı hepsi bir arada kontrol komut CVE-2014-7186 onay parçalama arızası ile başarısız olacağını --note, ama yine de bu güvenlik açığı için başka testler tamam açmak, çünkü tamam olduğu inanılıyor.

Diyorum ya @ takip edecek tstaylor7 'ın talimatları kaynaktan kendi yamalı RPM kurmak veya yukarıdaki yükleyin. Denediğimde, ikisi de bu kontrol komut dosyasında aynı sonuçları verdi.

Steve Kehlet
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.