web-dev-qa-db-ja.com

CVE-2014-6271およびCVE-2014-7169のbashの脆弱性に対してRHEL 4にパッチを適用するにはどうすればよいですか?

Bashを介したリモートコード実行のメカニズムは、昨日と今日(2014年9月24日)に広く報告されています。 http://seclists.org/oss-sec/2014/q3/65 CVEとして報告されています- 2014-7169またはCVE-2014-6271

私が説明できないほど愚かな理由で、私はRHEL 4を実行していて、更新サブスクリプションのないサーバーを担当しています。これをテストするためのクローンを作成することもできますが、誰かが直接回答してくれることを願っています。

  1. Centos 4の/ bin/bashにパッチが適用されていますか?
  2. (おそらくパッチが適用された)Centos 4/bin/bashをRHELシステムにプロップするだけで、数週間で問題を回避できますか? (12月10日まで必要です)
centosbashexploitrhel4
16
Bob Brown

El4用のパッチがOracleから提供されています。

https://oss.Oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.Oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.Oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.Oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

これはsrc RPMなので、rpmbuildをコンパイルする必要があります。

またはこのリンクを使用してビルドを回避します

http://public-yum.Oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.Oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

私は4.9 i386システムでそれをテストし、私が持っているエクスプロイトテストに合格しました。 (テッド)

21
Jina Martin

古いCentOS 4.9サーバーにパッチを適用する必要があったため、Red Hat FTPから最新のソースRPMをプルし、GNU FTPからアップストリームパッチを追加しました。手順は以下のとおりです。

まず、 http://bradthemad.org/tech/notes/patching_rpms.php の「セットアップ」手順に従います。

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

次に、%_ topdirから次のコマンドを実行します。

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

SPECS/bash.specに次の差分をパッチします。

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

次に、これらのコマンドで終了します。

rpmbuild -ba SPECS/bash.spec
Sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

編集:Red Hat Bugzillaの最新のコメントでは、パッチが不完全であるとしています。新しいIDはCVE-2014-7169です。

編集:gnu.orgから2つの追加パッチがあるので、それらを同じSOURCESディレクトリにダウンロードします。

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

次に、SPECS/bash.specを次のように編集します(「リリース」番号付けはオプション)。

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019
20
tstaylor7

RHEL 4 は「延長寿命」フェーズにあり、セキュリティアップデートは有料のお客様のみが利用できます。 CentOS 4 は2012年3月以降サポートされていません。このため、これ以上のアップデートはありません。

あなたの唯一の選択肢は

  • RedHatとのサポート契約を購入する
  • Bash用の独自のパッケージを作成してみてください。
  • または優勝オプション:このマシンを廃止し、そのためのインセンティブとしてこのセキュリティ問題を使用します。
14
Sven

Lewis Rosenthalという親切な魂が、CentOS 4用の更新されたBash RPMSを FTPサーバー に配置しました。 bash-3.0-27.3 RPMは、CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、およびCVE-2014-7187に対応すると考えられています。彼には [〜#〜] readme [〜#〜] があり、CentOSフォーラムには some議論 がありました。忘れないでください この便利なオールインワンチェックスクリプト -CVE-2014-7186チェックはセグメンテーション違反で失敗することに注意してください。その脆弱性のために大丈夫です。

@ tstaylor7instructions に従って、パッチを当てた独自のRPMをソースからビルドするか、上記をインストールします。私が試したところ、そのチェックスクリプトではどちらも同じ結果になりました。

2
Steve Kehlet