Jak załatać RHEL 4 pod kątem luk bash w CVE-2014-6271 i CVE-2014-7169?

16

Mechanizm zdalnego wykonania kodu poprzez Bash został szeroko relacjonowane wczoraj i dziś (24 września 2014) http://seclists.org/oss-sec/2014/q3/650 Zgłoszone jako CVE-2014-7169 i CVE-2014 -6271

Z powodów zbyt głupich, żebym mógł to wyjaśnić publicznie, jestem odpowiedzialny za serwer z RHEL 4 i bez subskrypcji aktualizacji. Mógłbym zbudować klon, aby to przetestować, ale mam nadzieję, że ktoś będzie miał bezpośrednią odpowiedź.

  1. Czy łatka / bin / bash z Centos 4 została załatana, czy będzie?
  2. Czy mogę po prostu podłączyć (prawdopodobnie załataną) Centos 4 / bin / bash do mojego systemu RHEL, aby obejść to za kilka tygodni? (Potrzebuję do 10 grudnia)
Bob Brown
źródło

Odpowiedzi:

21

Poprawka została dostarczona przez Oracle dla el4:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Ponieważ jest to RPM src, musisz go skompilować rpmbuild.

lub użyj tego linku, aby uniknąć kompilacji

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Przetestowałem to na systemie 4.9 i386, przeszedłem test exploita, który mam. (Przetrząsać)

Jina Martin
źródło
1
Najnowsza wersja to teraz 3.0-27.0.2 : oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (źródło) i public-yum.oracle.com/repo/ EnterpriseLinux / EL4 / latest / i386 /… (i386) - wydaje się, że rozwiązuje to również problem CVE-2014-7169 (testowany przy pomocy kodu z access.redhat.com/articles/1200223 ).
Dave James Miller
Oracle po prostu poszedł o krok dalej w mojej książce.
Steve Kehlet,
Huh, według oracle.com/us/support/library/… , Linux 4 jest obsługiwany tylko do lutego 2013 r. Musieli zrobić wyjątek. Bardzo fajny.
clacke
Te pakiety działają również dla Fedory Core 3 i Fedory Core 4.
Gene
20

Musiałem załatać stary serwer CentOS 4.9, więc ściągnąłem najnowszą źródłową RPM z Red Hat FTP i dodałem łatkę upstream z GNU FTP. Kroki są poniżej:

Najpierw postępuj zgodnie z procedurą „Setup” z http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Następnie uruchom następujące polecenia z% _topdir:

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Łata SPECS / bash.spec z tą różnicą:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Następnie zakończ te polecenia:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Edycja: Najnowsze komentarze w Bugzilli Red Hat mówią, że łatka jest niekompletna. Nowy identyfikator to CVE-2014-7169.

Edycja: Istnieją dwie dodatkowe łatki z gnu.org, więc pobierz je również do tego samego katalogu SOURCES:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Następnie edytuj SPECS / bash.spec w następujący sposób (numeracja „Release” jest opcjonalna):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019
tstaylor7
źródło
1
+1 za krokiem, abyśmy nie zapomnieli, jak to zrobić.
Steve Kehlet
14

RHEL 4 znajduje się w fazie „przedłużonej żywotności”, a aktualizacje zabezpieczeń będą dostępne tylko dla klientów płacących. CentOS 4 nie jest obsługiwany od marca 2012 r. Od tego czasu nie są dostępne żadne dalsze aktualizacje.

Twoje jedyne opcje to

  • Kup umowę wsparcia z RedHat
  • Spróbuj zbudować własny pakiet dla Bash.
  • Lub zwycięska opcja: wycofaj tę maszynę i wykorzystaj ten problem bezpieczeństwa jako zachętę do tego.
Sven
źródło
4
Dziękuję Ci. Ponieważ użyłem tutaj mojego prawdziwego nazwiska, nie mogę publicznie wyjaśnić, dlaczego nie mogę wycofać maszyny przed 10 grudnia. Podobnie jest z trzema wersjami bez umowy. Głosowałem za odpowiedzią i dziękuję. Zaakceptuję to, jeśli nikt nie przyjdzie wkrótce z pomocą.
Bob Brown
2
@BobBrown Co? Użyłeś fikcyjnej nazwy, której używam do moich kont administracyjnych. Dziwne.
HopelessN00b,
6
Obwiniam moich rodziców.
Bob Brown
2

Uprzejma dusza o imieniu Lewis Rosenthal umieściła zaktualizowane Bash RPMS dla CentOS 4 na swoim serwerze FTP . Uważa się, że bash-3.0-27.3 RPM dotyczy CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 i CVE-2014-7187. Ma plik README z dodatkowymi informacjami, a na forach CentOS odbyła się dyskusja . Nie zapomnij o tym pomocnym skrypcie sprawdzania typu „wszystko w jednym” - pamiętaj, że sprawdzenie CVE-2014-7186 zakończy się niepowodzeniem z powodu błędu segmentacji, ale nadal uważa się, że jest w porządku, ponieważ niektóre inne testy na tę podatność są w porządku.

Powiedziałbym, albo śledź @ tstaylor7 „s instrukcjami zbudować własny poprawionej RPM ze źródła lub zainstalować wyżej. Kiedy próbowałem, oba miały takie same wyniki w tym skrypcie kontrolnym.

Steve Kehlet
źródło