Come patch RHEL 4 per le vulnerabilità bash in CVE-2014-6271 e CVE-2014-7169?


16

Un meccanismo per l'esecuzione di codice in remoto tramite Bash è stato ampiamente riportato ieri e oggi (24 settembre 2014.) http://seclists.org/oss-sec/2014/q3/650 Segnalato come CVE-2014-7169 o CVE-2014 -6271

Per motivi troppo stupidi da spiegare in pubblico, sono responsabile di un server che esegue RHEL 4 e senza abbonamento di aggiornamento. Potrei costruire un clone per testarlo, ma spero che qualcuno abbia una risposta diretta.

  1. / Bin / bash di Centos 4 è stato patchato o lo sarà?
  2. Posso semplicemente inserire un Centos 4 / bin / bash (presumibilmente patchato) nel mio sistema RHEL come soluzione alternativa che mi comprerà diverse settimane? (Ho bisogno fino al 10 dicembre)

Risposte:


21

1
L'ultima versione è ora 3.0-27.0.2 : oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (fonte) e public-yum.oracle.com/repo/ EnterpriseLinux / EL4 / latest / i386 /… (i386) - questo sembra risolvere anche il problema CVE-2014-7169 (testato con codice da access.redhat.com/articles/1200223 ).
Dave James Miller,

Oracle ha appena raggiunto un livello nel mio libro.
Steve Kehlet,

Eh, secondo oracle.com/us/support/library/… , Linux 4 è supportato solo fino a febbraio 2013. Devono aver fatto un'eccezione. Molto bello.
clacke,

Questi pacchetti funzionano anche con Fedora Core 3 e Fedora Core 4.
Gene,


20

Ho dovuto patchare un vecchio server CentOS 4.9, quindi ho estratto l'ultimo RPM sorgente dal FTP Red Hat e ho aggiunto la patch upstream dal FTP GNU. I passaggi sono di seguito:

Innanzitutto, segui la procedura "Setup" da http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Quindi esegui i seguenti comandi dal tuo% _topdir:

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Patch SPECS / bash.spec con questo diff:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Quindi termina con questi comandi:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Modifica: gli ultimi commenti in Red Hat Bugzilla affermano che la patch è incompleta. Il nuovo ID è CVE-2014-7169.

Modifica: ci sono due patch aggiuntive da gnu.org, quindi scaricali anche nella stessa directory SOURCES:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Quindi modificare anche SPECS / bash.spec come segue (numerazione "Rilascio" opzionale):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

1
+1 per il passo dopo passo, per non dimenticare come fare queste cose.
Steve Kehlet,

14

RHEL 4 è in fase di "lunga durata" e gli aggiornamenti di sicurezza saranno disponibili solo per i clienti paganti. CentOS 4 è fuori supporto da marzo 2012. Da questo momento non sono disponibili ulteriori aggiornamenti per questo.

Le tue uniche opzioni sono

  • Acquista un contratto di supporto con RedHat
  • Prova a creare il tuo pacchetto per Bash.
  • O l'opzione vincente: ritirare questa macchina e utilizzare questo problema di sicurezza come incentivo a farlo.

4
Grazie. Dato che ho usato il mio vero nome qui, non posso spiegare in pubblico perché non riesco a ritirare la macchina prima del 10 dicembre. Idem con perché sono tornate tre versioni senza contratto. Ho votato la tua risposta e grazie. Lo accetterò se nessuno si presenta con un salvataggio abbastanza presto.
Bob Brown,

2
@BobBrown Cosa? In realtà hai usato il nome fittizio che uso per i miei account amministrativi. Strano.
HopelessN00b,

6
Incolpo i miei genitori.
Bob Brown,

2

Un'anima gentile di nome Lewis Rosenthal ha inserito Bash RPMS aggiornato per CentOS 4 sul suo server FTP . Si ritiene che il bash-3.0-27.3 RPM si rivolga a CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 e CVE-2014-7187. Ha un README con maggiori informazioni e si è discusso sui forum CentOS. Non dimenticare questo utile script di controllo all-in-one - nota che il controllo CVE-2014-7186 fallirà con un errore di segmentazione, ma si ritiene comunque che vada bene, perché alcuni altri test per quella vulnerabilità risultano ok.

Direi, seguire @ tstaylor7 's istruzioni per costruire il proprio RPM patch dai sorgenti o installare quanto sopra. Quando ho provato, avevano entrambi gli stessi risultati in quello script di controllo.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.