Как я исправляю RHEL 4 для уязвимостей удара в CVE-2014-6271 и CVE-2014-7169?

Мне пришлось исправить старый сервер CentOS 4.9, поэтому я вытащил последний исходный RPM с Red Hat FTP и добавил апстрим патч от GNU FTP. Шаги следующие:

Сначала следуйте процедуре «Установка» из http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Затем выполните следующие команды из вашего% _topdir:

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Патч SPECS / bash.spec с этим различием:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Затем закончите с этими командами:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Редактировать: Последние комментарии в Red Hat Bugzilla говорят, что патч не завершен. Новый идентификатор - CVE-2014-7169.

Изменить: Есть два дополнительных патча с gnu.org, поэтому также загрузите их в тот же каталог SOURCES:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Затем также отредактируйте SPECS / bash.spec следующим образом (нумерация «Release» необязательна):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

Oracle предоставил патч для el4:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src .rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS -updates / bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Как это src RPM, вам нужно скомпилировать rpmbuild .

или использовать эту ссылку, чтобы избежать сборки

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4 /latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0 -27.0.3.el4.i386.rpm

Я тестировал его на системе 4.9 i386, прошел тест на эксплойт, который у меня есть. (Тед)

RHEL 4 находится в «продленной жизни» фазы и обновления безопасности будут доступны только платным клиентам. CentOS 4 не поддерживается с марта 2012 года. С этого времени нет дополнительных обновлений.

Единственные варианты:

• Купить контракт на поддержку с RedHat
• Попытаться собрать ваш собственный пакет для Bash.
• Или выигрышный вариант: вывести эту машину из эксплуатации и использовать эту проблему безопасности как стимул для этого.

Добрый человек по имени Льюис Розенталь разместил обновленную RPMS Bash для CentOS 4 на своем FTP-сервере . Считается, что RPM bash-3.0-27.3 адресует CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 и CVE-2014-7187. У него есть README с дополнительной информацией, и было некоторое обсуждение на форумах CentOS. Не забудьте этот полезный скрипт проверки «все-в-одном» - обратите внимание, что проверка CVE-2014-7186 завершится неудачно из-за ошибки сегментации, но все равно считается, что это нормально, потому что некоторые другие тесты для эта уязвимость обнаруживается нормально.

Я бы сказал, либо следуйте инструкциям @ tstaylor7 , чтобы создать свой собственный исправленный RPM из исходных текстов, либо установите указанное выше. Когда я попробовал, они оба дали одинаковые результаты в этом сценарии проверки.