CVE-2014-6271 및 CVE-2014-7169의 bash 취약성에 대해 RHEL 4를 어떻게 패치합니까?

Bash를 통한 원격 코드 실행 메커니즘은 어제와 오늘 널리 알려졌습니다 (2014 년 9 월 24 일). http://seclists.org/oss-sec/2014/q3/650 CVE-2014-7169 또는 CVE-2014로보고 됨 -6271

공개적으로 설명하기에 너무 어리석은 이유로, RHEL 4를 실행하고 업데이트 구독이없는 서버를 책임집니다. 이것을 테스트하기 위해 복제본을 만들 수는 있지만 누군가가 직접 대답하기를 바랍니다.

1. Centos 4의 / bin / bash가 패치 되었습니까?
2. 몇 주가 걸리는 해결 방법으로 RHEL 시스템에 (아마 패치 된) Centos 4 / bin / bash를 넣을 수 있습니까? (12 월 10 일까지 필요)

Oracle은 el4 용 패치를 제공했습니다.

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

src RPM이므로 컴파일해야합니다 rpmbuild.

또는이 링크를 사용하여 빌드를 피하십시오.

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

나는 그것을 4.9 i386 시스템에서 테스트했고, 내가 가진 익스플로잇 테스트를 통과했다. (테드)

구 CentOS 4.9 서버를 패치해야했기 때문에 Red Hat FTP에서 최신 소스 RPM을 가져 와서 GNU FTP에서 업스트림 패치를 추가했습니다. 단계는 다음과 같습니다.

먼저 http://bradthemad.org/tech/notes/patching_rpms.php 의 "Setup"절차를 따르십시오 .

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

그런 다음 % _topdir에서 다음 명령을 실행하십시오.

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

이 diff로 SPECS / bash.spec을 패치하십시오.

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

그런 다음 다음 명령으로 완료하십시오.

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

편집 : Red Hat Bugzilla의 최신 의견은 패치가 불완전하다고 말합니다. 새로운 ID는 CVE-2014-7169입니다.

편집 : gnu.org에는 두 가지 추가 패치가 있으므로 동일한 소스 디렉토리로 다운로드하십시오.

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

그런 다음 SPECS / bash.spec도 다음과 같이 편집하십시오 ( "릴리스"번호 매기기 옵션).

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

RHEL 4 는 "확장 수명"단계에 있으며 보안 업데이트는 유료 고객에게만 제공됩니다. CentOS 4 는 2012 년 3 월부터 지원되지 않습니다.이 이후로는 더 이상 업데이트가 제공되지 않습니다.

유일한 옵션은

• RedHat과 지원 계약 구매
• Bash를위한 패키지를 직접 만들어보십시오.
• 또는 당첨 옵션 :이 시스템을 폐기하고이 보안 문제를 인센티브로 사용하십시오.

Lewis Rosenthal라는 친절한 영혼이 자신의 FTP 서버 에 CentOS 4 용 Bash RPMS를 업데이트했습니다 . bash-3.0-27.3 RPM은 CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 및 CVE-2014-7187을 해결하는 것으로 생각됩니다. 그는 추가 정보 가 담긴 README 를 가지고 있으며 CentOS 포럼에 대한 토론 이있었습니다 . 이 유용한 올인원 검사 스크립트를 잊지 마십시오 .CVE-2014-7186 검사는 세그먼테이션 오류로 인해 실패하지만 해당 취약성에 대한 다른 테스트는 정상적으로 수행되므로 여전히 문제가 없습니다.

@ tstaylor7 의 지침 에 따라 소스에서 자체 패치 RPM을 빌드하거나 위의 내용을 설치하십시오. 내가 시도했을 때, 둘 다 그 체크 스크립트에서 동일한 결과를 얻었습니다.