Bagaimana cara menambal RHEL 4 untuk kerentanan bash di CVE-2014-6271 dan CVE-2014-7169?

16

Mekanisme untuk eksekusi kode jarak jauh melalui Bash telah banyak dilaporkan kemarin dan hari ini (24 September 2014). Http://seclists.org/oss-sec/2014/q3/650 Dilaporkan sebagai CVE-2014-7169 atau CVE-2014 -6271

Untuk alasan yang terlalu bodoh untuk saya jelaskan di depan umum, saya bertanggung jawab untuk server yang menjalankan RHEL 4 dan tanpa berlangganan berlangganan. Saya bisa membangun klon untuk menguji ini, tetapi saya berharap seseorang akan memiliki jawaban langsung.

  1. Apakah / bin / bash dari Centos 4 telah ditambal, atau akankah itu?
  2. Dapatkah saya hanya memasukkan Centos 4 / bin / bash ke dalam sistem RHEL saya sebagai solusi yang akan membeli saya beberapa minggu? (Saya perlu sampai 10 Desember)
centos bash exploit rhel4 Bob Brown
sumber

Jawaban:

21

Sebuah tambalan telah disediakan oleh Oracle untuk el4:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Karena ini adalah RPM src, Anda harus mengkompilasinya kemudian rpmbuild.

atau gunakan tautan ini untuk menghindari build

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Saya mengujinya pada sistem 4,9 i386, lulus uji exploit yang saya miliki. (Ted)

Jina Martin
sumber
1
Versi terbaru sekarang 3.0-27.0.2 : oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (sumber) & public-yum.oracle.com/repo/ EnterpriseLinux / EL4 / latest / i386 /… (i386) - ini juga tampaknya untuk memperbaiki masalah CVE-2014-7169 (diuji dengan kode dari access.redhat.com/articles/1200223 ).
Dave James Miller
Oracle naik satu tingkat di buku saya.
Steve Kehlet
Huh, menurut oracle.com/us/support/library/… , Linux 4 hanya didukung hingga Februari 2013. Mereka pasti membuat pengecualian. Sangat keren.
clacke
Paket-paket ini juga berfungsi untuk Fedora Core 3 dan Fedora Core 4.
Gene
Juga, 64bit 3.0-27.0.3 public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/…
Liam
20

Saya harus menambal server CentOS 4.9 yang lama, jadi saya menarik RPM sumber terbaru dari Red Hat FTP dan menambahkan tambalan hulu dari GNU FTP. Langkah-langkahnya di bawah ini:

Pertama, ikuti prosedur "Pengaturan" dari http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Kemudian jalankan perintah berikut dari% _topdir Anda: 

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Patch SPECS / bash.spec dengan diff ini:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Kemudian akhiri dengan perintah-perintah ini:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Sunting: Komentar terbaru di Red Hat Bugzilla mengatakan tambalan tidak lengkap. ID baru adalah CVE-2014-7169.

Sunting: Ada dua tambalan tambahan dari gnu.org, jadi unduh juga ke direktori SOURCES yang sama:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Kemudian juga edit SPECS / bash.spec sebagai berikut (penomoran "Release" opsional):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019
tstaylor7
sumber
1
+1 untuk langkah demi langkah, jangan sampai kita lupa bagaimana melakukan hal ini.
Steve Kehlet
14

RHEL 4 sedang dalam fase "perpanjangan masa pakai" dan pembaruan keamanan hanya akan tersedia bagi pelanggan yang membayar. CentOS 4 di luar dukungan sejak Maret 2012. Tidak ada pembaruan lebih lanjut untuk ini sejak saat ini.

Satu-satunya pilihan Anda adalah

  • Beli kontrak dukungan dengan RedHat
  • Cobalah untuk membangun paket Anda sendiri untuk Bash.
  • Atau opsi yang menang: Hentikan mesin ini dan gunakan masalah keamanan ini sebagai insentif untuk melakukannya.
Sven
sumber
4
Terima kasih. Karena saya menggunakan nama asli saya di sini, saya tidak bisa menjelaskan di depan umum mengapa saya tidak bisa pensiun mesin sebelum 10 Desember. Ditto dengan mengapa itu tiga versi kembali tanpa kontrak. Saya telah mengangkat jawaban Anda, dan terima kasih. Saya akan menerimanya jika tidak ada yang datang dengan penyelamatan segera.
Bob Brown
2
@BobBrown Apa? Anda sebenarnya menggunakan nama fiksi yang saya gunakan untuk akun administratif saya. Aneh.
HopelessN00b
6
Saya menyalahkan orang tua saya.
Bob Brown
2

Jiwa yang baik bernama Lewis Rosenthal telah menempatkan Bash RPMS yang diperbarui untuk CentOS 4 di server FTP- nya . The bash-3.0-27.3 RPM diyakini mengatasi CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, dan CVE-2014-7187. Dia memiliki README dengan informasi lebih lanjut, dan ada beberapa diskusi di forum CentOS. Jangan lupa skrip all-in-one bermanfaat ini - perhatikan bahwa pemeriksaan CVE-2014-7186 akan gagal dengan kesalahan segmentasi, tetapi masih diyakini baik-baik saja, karena beberapa tes lain untuk kerentanan itu muncul dengan baik.

Saya akan mengatakan, baik ikuti @ tstaylor7 's petunjuk untuk membangun RPM ditambal Anda sendiri dari sumber atau menginstal di atas. Ketika saya mencoba, mereka berdua memiliki hasil yang sama dalam skrip cek.

Steve Kehlet
sumber