Comment mettre à jour RHEL 4 pour les vulnérabilités de bash dans CVE-2014-6271 et CVE-2014-7169?

16

Un mécanisme pour l'exécution de code à distance via Bash a été largement rapporté hier et aujourd'hui (24 septembre 2014.) http://seclists.org/oss-sec/2014/q3/650 Signalé comme CVE-2014-7169 ou CVE-2014 -6271

Pour des raisons trop stupides pour que j'explique en public, je suis responsable d'un serveur exécutant RHEL 4 et sans abonnement de mise à jour. Je pourrais créer un clone pour tester cela, mais j'espère que quelqu'un aura une réponse directe.

  1. / Bin / bash de Centos 4 a-t-il été corrigé, ou le sera-t-il?
  2. Puis-je simplement insérer un Centos 4 / bin / bash (vraisemblablement corrigé) dans mon système RHEL comme solution de contournement qui m'achètera plusieurs semaines? (J'ai besoin jusqu'au 10 décembre)
centos bash exploit rhel4 Bob Brown
la source

Réponses:

21

Un correctif a été fourni par Oracle pour el4:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Comme il s'agit d'un RPM src, vous devez alors le compiler rpmbuild.

ou utilisez ce lien pour éviter la construction

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Je l'ai testé sur un système 4.9 i386, j'ai réussi le test d'exploitation que j'ai. (Ted)

Jina Martin
la source
1
La dernière version est désormais 3.0-27.0.2 : oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (source) & public-yum.oracle.com/repo/ EnterpriseLinux / EL4 / latest / i386 /… (i386) - cela semble résoudre également le problème CVE-2014-7169 (testé avec le code access.redhat.com/articles/1200223 ).
Dave James Miller
Oracle vient de monter d'un cran dans mon livre.
Steve Kehlet
Huh, selon oracle.com/us/support/library/… , Linux 4 n'est pris en charge que jusqu'en février 2013. Ils doivent avoir fait une exception. Très cool.
clacke
Ces packages fonctionnent également pour Fedora Core 3 et Fedora Core 4.
Gene
Aussi, 64bit 3.0-27.0.3 public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/…
Liam
20

J'ai dû patcher un ancien serveur CentOS 4.9, j'ai donc extrait le dernier RPM source du FTP Red Hat et ajouté le patch amont du FTP GNU. Les étapes sont les suivantes:

Tout d'abord, suivez la procédure "Setup" de http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Exécutez ensuite les commandes suivantes à partir de votre% _topdir: 

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Patch SPECS / bash.spec avec ce diff:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Terminez ensuite avec ces commandes:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Edit: les derniers commentaires dans le Red Hat Bugzilla disent que le patch est incomplet. Le nouvel ID est CVE-2014-7169.

Edit: il existe deux correctifs supplémentaires sur gnu.org, alors téléchargez-les également dans le même répertoire SOURCES:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Modifiez ensuite également SPECS / bash.spec comme suit (numérotation "Release" facultative):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019
tstaylor7
la source
1
+1 pour l'étape par étape, de peur d'oublier comment faire ce genre de choses.
Steve Kehlet
14

RHEL 4 est dans sa phase de "durée de vie prolongée" et les mises à jour de sécurité ne seront disponibles que pour les clients payants. CentOS 4 n'est plus pris en charge depuis mars 2012. Aucune mise à jour supplémentaire n'est disponible depuis lors.

Vos seules options sont de

  • Acheter un contrat de support avec RedHat
  • Essayez de créer votre propre package pour Bash.
  • Ou l'option gagnante: retirez cette machine et utilisez ce problème de sécurité comme incitation à le faire.
Sven
la source
4
Je vous remercie. Parce que j'ai utilisé mon vrai nom ici, je ne peux pas expliquer en public pourquoi je ne peux pas retirer la machine avant le 10 décembre. Idem avec pourquoi c'est trois versions de retour sans contrat. J'ai voté pour votre réponse et merci. Je l'accepterai si personne ne propose un sauvetage très bientôt.
Bob Brown
2
@BobBrown Quoi? Vous avez en fait utilisé le nom fictif que j'utilise pour mes comptes administratifs. Bizarre.
HopelessN00b
6
Je blâme mes parents.
Bob Brown
2

Une âme gentille nommée Lewis Rosenthal a placé Bash RPMS mis à jour pour CentOS 4 sur son serveur FTP . Le RPM bash-3.0-27.3 est censé traiter CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 et CVE-2014-7187. Il a un README avec plus d'informations, et il y a eu quelques discussions sur les forums CentOS. N'oublie pas ce script de vérification tout-en-un utile - notez que la vérification CVE-2014-7186 échouera avec une erreur de segmentation, mais on pense toujours qu'elle est correcte, car d'autres tests pour cette vulnérabilité se révèlent corrects.

Je dirais, soit suivez les instructions de @ tstaylor7 pour créer votre propre RPM patché à partir des sources, soit installez ce qui précède. Quand j'ai essayé, ils ont tous deux eu les mêmes résultats dans ce script de vérification.

Steve Kehlet
la source