Mechanizm zdalnego wykonania kodu poprzez Bash został szeroko relacjonowane wczoraj i dziś (24 września 2014) http://seclists.org/oss-sec/2014/q3/650 Zgłoszone jako CVE-2014-7169 i CVE-2014 -6271
Z powodów zbyt głupich, żebym mógł to wyjaśnić publicznie, jestem odpowiedzialny za serwer z RHEL 4 i bez subskrypcji aktualizacji. Mógłbym zbudować klon, aby to przetestować, ale mam nadzieję, że ktoś będzie miał bezpośrednią odpowiedź.
- Czy łatka / bin / bash z Centos 4 została załatana, czy będzie?
- Czy mogę po prostu podłączyć (prawdopodobnie załataną) Centos 4 / bin / bash do mojego systemu RHEL, aby obejść to za kilka tygodni? (Potrzebuję do 10 grudnia)
Musiałem załatać stary serwer CentOS 4.9, więc ściągnąłem najnowszą źródłową RPM z Red Hat FTP i dodałem łatkę upstream z GNU FTP. Kroki są poniżej:
Najpierw postępuj zgodnie z procedurą „Setup” z http://bradthemad.org/tech/notes/patching_rpms.php :
Następnie uruchom następujące polecenia z% _topdir:
Łata SPECS / bash.spec z tą różnicą:
Następnie zakończ te polecenia:
Edycja: Najnowsze komentarze w Bugzilli Red Hat mówią, że łatka jest niekompletna. Nowy identyfikator to CVE-2014-7169.
Edycja: Istnieją dwie dodatkowe łatki z gnu.org, więc pobierz je również do tego samego katalogu SOURCES:
Następnie edytuj SPECS / bash.spec w następujący sposób (numeracja „Release” jest opcjonalna):
źródło
RHEL 4 znajduje się w fazie „przedłużonej żywotności”, a aktualizacje zabezpieczeń będą dostępne tylko dla klientów płacących. CentOS 4 nie jest obsługiwany od marca 2012 r. Od tego czasu nie są dostępne żadne dalsze aktualizacje.
Twoje jedyne opcje to
źródło
Uprzejma dusza o imieniu Lewis Rosenthal umieściła zaktualizowane Bash RPMS dla CentOS 4 na swoim serwerze FTP . Uważa się, że bash-3.0-27.3 RPM dotyczy CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 i CVE-2014-7187. Ma plik README z dodatkowymi informacjami, a na forach CentOS odbyła się dyskusja . Nie zapomnij o tym pomocnym skrypcie sprawdzania typu „wszystko w jednym” - pamiętaj, że sprawdzenie CVE-2014-7186 zakończy się niepowodzeniem z powodu błędu segmentacji, ale nadal uważa się, że jest w porządku, ponieważ niektóre inne testy na tę podatność są w porządku.
Powiedziałbym, albo śledź @ tstaylor7 „s instrukcjami zbudować własny poprawionej RPM ze źródła lub zainstalować wyżej. Kiedy próbowałem, oba miały takie same wyniki w tym skrypcie kontrolnym.
źródło