web-dev-qa-db-fra.com

Comment mettre à jour RHEL 4 pour les vulnérabilités de bash dans CVE-2014-6271 et CVE-2014-7169?

Un mécanisme pour l'exécution de code à distance via Bash a été largement rapporté hier et aujourd'hui (24 septembre 2014.) http://seclists.org/oss-sec/2014/q3/65 Signalé comme CVE- 2014-7169 ou CVE-2014-6271

Pour des raisons trop stupides à expliquer en public, je suis responsable d'un serveur exécutant RHEL 4 et sans abonnement de mise à jour. Je pourrais créer un clone pour tester cela, mais j'espère que quelqu'un aura une réponse directe.

  1. / Bin/bash de Centos 4 a-t-il été corrigé, ou le sera-t-il?
  2. Puis-je simplement insérer un Centos 4/bin/bash (vraisemblablement corrigé) dans mon système RHEL comme solution de contournement qui m'achètera plusieurs semaines? (J'ai besoin jusqu'au 10 décembre)
16
Bob Brown
21
Jina Martin

J'ai dû patcher un ancien serveur CentOS 4.9, j'ai donc extrait le dernier RPM source du FTP Red Hat et ajouté le patch en amont du FTP GNU. Les étapes sont les suivantes:

Tout d'abord, suivez la procédure "Configuration" de http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Exécutez ensuite les commandes suivantes à partir de votre% _topdir:

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Patch SPECS/bash.spec avec ce diff:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Terminez ensuite avec ces commandes:

rpmbuild -ba SPECS/bash.spec
Sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Edit: Les derniers commentaires dans le Red Hat Bugzilla disent que le patch est incomplet. Le nouvel ID est CVE-2014-7169.

Edit: Il existe deux correctifs supplémentaires de gnu.org, alors téléchargez-les également dans le même répertoire SOURCES:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Modifiez ensuite également SPECS/bash.spec comme suit (numérotation "Release" facultative):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019
20
tstaylor7

RHEL 4 est dans sa phase de "durée de vie prolongée" et les mises à jour de sécurité ne seront disponibles que pour les clients payants. CentOS 4 n'est plus pris en charge depuis mars 2012. Aucune autre mise à jour n'est disponible depuis lors.

Vos seules options sont de

  • Acheter un contrat de support avec RedHat
  • Essayez de créer votre propre package pour Bash.
  • Ou l'option gagnante: retirez cette machine et utilisez ce problème de sécurité comme incitation à le faire.
14
Sven

Une bonne âme nommée Lewis Rosenthal a placé Bash RPMS mis à jour pour CentOS 4 sur son serveur FTP . Le RPM bash-3.0-27.3 est censé traiter CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 et CVE-2014-7187. Il a un README avec plus d'informations, et il y avait quelques discussions sur les forums CentOS. N'oubliez pas ce script de vérification tout-en-un utile - notez que la vérification CVE-2014-7186 échouera avec une erreur de segmentation, mais on pense toujours qu'elle est correcte, car certains autres tests pour cette vulnérabilité se présente bien.

Je dirais, soit suivez @ tstaylor7instructions pour créer votre propre RPM patché à partir de la source ou installez ce qui précède. Quand j'ai essayé, ils ont tous deux eu les mêmes résultats dans ce script de vérification.

2
Steve Kehlet