Come patch RHEL 4 per le vulnerabilità bash in CVE-2014-6271 e CVE-2014-7169?

16

Un meccanismo per l'esecuzione di codice in remoto tramite Bash è stato ampiamente riportato ieri e oggi (24 settembre 2014.) http://seclists.org/oss-sec/2014/q3/650 Segnalato come CVE-2014-7169 o CVE-2014 -6271

Per motivi troppo stupidi da spiegare in pubblico, sono responsabile di un server che esegue RHEL 4 e senza abbonamento di aggiornamento. Potrei costruire un clone per testarlo, ma spero che qualcuno abbia una risposta diretta.

  1. / Bin / bash di Centos 4 è stato patchato o lo sarà?
  2. Posso semplicemente inserire un Centos 4 / bin / bash (presumibilmente patchato) nel mio sistema RHEL come soluzione alternativa che mi comprerà diverse settimane? (Ho bisogno fino al 10 dicembre)
centos  bash  exploit  rhel4 
Bob Brown
fonte

Risposte:

21

Oracle ha fornito una patch per el4:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Poiché si tratta di un RPM di SRC, è necessario compilare quindi rpmbuild.

oppure usa questo link per evitare la compilazione

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

L'ho provato su un sistema 4.9 i386, ho superato il test di exploit che ho. (Ted)

Jina Martin
fonte
1
L'ultima versione è ora 3.0-27.0.2 : oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (fonte) e public-yum.oracle.com/repo/ EnterpriseLinux / EL4 / latest / i386 /… (i386) - questo sembra risolvere anche il problema CVE-2014-7169 (testato con codice da access.redhat.com/articles/1200223 ).
Dave James Miller,
Oracle ha appena raggiunto un livello nel mio libro.
Steve Kehlet,
Eh, secondo oracle.com/us/support/library/… , Linux 4 è supportato solo fino a febbraio 2013. Devono aver fatto un'eccezione. Molto bello.
clacke,
Questi pacchetti funzionano anche con Fedora Core 3 e Fedora Core 4.
Gene,
Liam,
20

Ho dovuto patchare un vecchio server CentOS 4.9, quindi ho estratto l'ultimo RPM sorgente dal FTP Red Hat e ho aggiunto la patch upstream dal FTP GNU. I passaggi sono di seguito:

Innanzitutto, segui la procedura "Setup" da http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Quindi esegui i seguenti comandi dal tuo% _topdir: 

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Patch SPECS / bash.spec con questo diff:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Quindi termina con questi comandi:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Modifica: gli ultimi commenti in Red Hat Bugzilla affermano che la patch è incompleta. Il nuovo ID è CVE-2014-7169.

Modifica: ci sono due patch aggiuntive da gnu.org, quindi scaricali anche nella stessa directory SOURCES:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Quindi modificare anche SPECS / bash.spec come segue (numerazione "Rilascio" opzionale):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019
tstaylor7
fonte
1
+1 per il passo dopo passo, per non dimenticare come fare queste cose.
Steve Kehlet,
14

RHEL 4 è in fase di "lunga durata" e gli aggiornamenti di sicurezza saranno disponibili solo per i clienti paganti. CentOS 4 è fuori supporto da marzo 2012. Da questo momento non sono disponibili ulteriori aggiornamenti per questo.

Le tue uniche opzioni sono

  • Acquista un contratto di supporto con RedHat
  • Prova a creare il tuo pacchetto per Bash.
  • O l'opzione vincente: ritirare questa macchina e utilizzare questo problema di sicurezza come incentivo a farlo.
Sven
fonte
4
Grazie. Dato che ho usato il mio vero nome qui, non posso spiegare in pubblico perché non riesco a ritirare la macchina prima del 10 dicembre. Idem con perché sono tornate tre versioni senza contratto. Ho votato la tua risposta e grazie. Lo accetterò se nessuno si presenta con un salvataggio abbastanza presto.
Bob Brown,
2
@BobBrown Cosa? In realtà hai usato il nome fittizio che uso per i miei account amministrativi. Strano.
HopelessN00b,
6
Incolpo i miei genitori.
Bob Brown,
2

Un'anima gentile di nome Lewis Rosenthal ha inserito Bash RPMS aggiornato per CentOS 4 sul suo server FTP . Si ritiene che il bash-3.0-27.3 RPM si rivolga a CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 e CVE-2014-7187. Ha un README con maggiori informazioni e si è discusso sui forum CentOS. Non dimenticare questo utile script di controllo all-in-one - nota che il controllo CVE-2014-7186 fallirà con un errore di segmentazione, ma si ritiene comunque che vada bene, perché alcuni altri test per quella vulnerabilità risultano ok.

Direi, seguire @ tstaylor7 's istruzioni per costruire il proprio RPM patch dai sorgenti o installare quanto sopra. Quando ho provato, avevano entrambi gli stessi risultati in quello script di controllo.

Steve Kehlet
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.