Как я могу исправить RHEL 4 для уязвимостей bash в CVE-2014-6271 и CVE-2014-7169?

16

Механизм удаленного выполнения кода через Bash широко освещалось вчера и сегодня (24 сентября 2014 г.) http://seclists.org/oss-sec/2014/q3/650 Сообщил , как CVE-2014-7169 и CVE-2014 -6271

По причинам, слишком глупым для публичного объяснения, я отвечаю за сервер с RHEL 4 и без подписки на обновления. Я мог бы создать клона, чтобы проверить это, но я надеюсь, что у кого-то будет прямой ответ.

  1. Патч / bin / bash из Centos 4 был исправлен или будет?
  2. Могу ли я просто вставить (предположительно исправленный) Centos 4 / bin / bash в мою систему RHEL в качестве обходного пути, которое купит меня через несколько недель? (Мне нужно до 10 декабря)
centos bash exploit rhel4 Боб Браун
источник

Ответы:

21

Oracle предоставил патч для el4:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Поскольку это RPC-пакет src, вам нужно скомпилировать его rpmbuild.

или используйте эту ссылку, чтобы избежать сборки

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Я протестировал его на системе 4.9 i386, прошел тест на эксплойт, который у меня есть. (Тед)

Джина Мартин
источник
1
Последняя версия сейчас 3.0-27.0.2 : oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (источник) & public-yum.oracle.com/repo/ EnterpriseLinux / EL4 / latest / i386 /… (i386) - похоже, это также решает проблему CVE-2014-7169 (протестировано с кодом из access.redhat.com/articles/1200223 ).
Дейв Джеймс Миллер
Оракул только что поднялся на ступеньку выше в моей книге.
Стив Келет
Да, согласно oracle.com/us/support/library/… , Linux 4 поддерживается только до февраля 2013 года. Должно быть, они сделали исключение. Очень круто.
клик
Эти пакеты также работают для Fedora Core 3 и Fedora Core 4.
Gene
Кроме того, 64- битная версия
Лиам
20

Мне пришлось исправить старый сервер CentOS 4.9, поэтому я извлек последнюю версию RPM с Red Hat FTP и добавил апстримовый патч с GNU FTP. Шаги ниже:

Сначала выполните процедуру «Настройка» с сайта http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Затем выполните следующие команды из вашего% _topdir: 

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Патч SPECS / bash.spec с этим diff:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Затем закончите с этими командами:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Изменить: последние комментарии в Red Hat Bugzilla говорят, что патч не завершен. Новый идентификатор - CVE-2014-7169.

Редактировать: есть два дополнительных патча от gnu.org, поэтому загрузите их в тот же каталог SOURCES:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Затем также отредактируйте SPECS / bash.spec следующим образом (нумерация «Release» необязательна):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019
tstaylor7
источник
1
+1 за шаг за шагом, чтобы не забыть, как это делать.
Стив Келет
14

RHEL 4 находится в фазе «продленного срока службы», и обновления безопасности будут доступны только платящим клиентам. CentOS 4 больше не поддерживается с марта 2012 года. С этого времени дальнейшие обновления для этого недоступны.

Ваши единственные варианты

  • Купить контракт на поддержку с RedHat
  • Попробуйте создать свой собственный пакет для Bash.
  • Или победный вариант: отключите эту машину и используйте эту проблему в качестве стимула для этого.
Свен
источник
4
Спасибо. Поскольку я использовал свое настоящее имя здесь, я не могу публично объяснить, почему я не могу вывести машину из эксплуатации до 10 декабря. Так же, почему это три версии без контракта. Я проголосовал за ваш ответ, и спасибо. Я приму это, если скоро никто не придет на помощь.
Боб Браун
2
@BobBrown Что? Вы на самом деле использовали вымышленное имя, которое я использую для моих административных учетных записей. Weird.
HopelessN00b
6
Я обвиняю своих родителей.
Боб Браун
2

Добрая душа по имени Льюис Розенталь разместила обновленную Bash RPMS для CentOS 4 на своем FTP-сервере . Считается, что скорость вращения bash-3.0-27.3 соответствует CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 и CVE-2014-7187. У него есть README с дополнительной информацией, и на форумах CentOS состоялось некоторое обсуждение . Не забудьте этот полезный сценарий проверки «все в одном» - отметьте, что проверка CVE-2014-7186 завершится неудачно с ошибкой сегментации, но все равно считается, что все в порядке, потому что некоторые другие тесты для этой уязвимости работают нормально.

Я бы сказал, либо следовать @ tstaylor7 «s инструкции , чтобы создать свою собственную исправленную RPM из источника или установить выше. Когда я попытался, они оба имели одинаковые результаты в этом скрипте проверки.

Стив Келет
источник