CVE-2014-6271 및 CVE-2014-7169의 bash 취약성에 대해 RHEL 4를 어떻게 패치합니까?


16

Bash를 통한 원격 코드 실행 메커니즘은 어제와 오늘 널리 알려졌습니다 (2014 년 9 월 24 일). http://seclists.org/oss-sec/2014/q3/650 CVE-2014-7169 또는 CVE-2014로보고 됨 -6271

공개적으로 설명하기에 너무 어리석은 이유로, RHEL 4를 실행하고 업데이트 구독이없는 서버를 책임집니다. 이것을 테스트하기 위해 복제본을 만들 수는 있지만 누군가가 직접 대답하기를 바랍니다.

  1. Centos 4의 / bin / bash가 패치 되었습니까?
  2. 몇 주가 걸리는 해결 방법으로 RHEL 시스템에 (아마 패치 된) Centos 4 / bin / bash를 넣을 수 있습니까? (12 월 10 일까지 필요)

답변:


21

1
최신 버전은 현재 3.0-27.0.2입니다 . oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (소스) & public-yum.oracle.com/repo/ EnterpriseLinux / EL4 / latest / i386 /… (i386)-CVE-2014-7169 문제도 수정 된 것으로 보입니다 ( access.redhat.com/articles/1200223의 코드로 테스트 ).
Dave James Miller

오라클은 방금 저의 책에서 한 단계 올라갔습니다.
Steve Kehlet

oracle.com/us/support/library/… 에 따르면 Linux 4는 2013 년 2 월까지만 지원됩니다. 예외가 발생했을 것입니다. 매우 시원합니다.
clacke

이 패키지는 Fedora Core 3 및 Fedora Core 4에서도 작동합니다.
Gene


20

구 CentOS 4.9 서버를 패치해야했기 때문에 Red Hat FTP에서 최신 소스 RPM을 가져 와서 GNU FTP에서 업스트림 패치를 추가했습니다. 단계는 다음과 같습니다.

먼저 http://bradthemad.org/tech/notes/patching_rpms.php 의 "Setup"절차를 따르십시오 .

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

그런 다음 % _topdir에서 다음 명령을 실행하십시오.

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

이 diff로 SPECS / bash.spec을 패치하십시오.

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

그런 다음 다음 명령으로 완료하십시오.

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

편집 : Red Hat Bugzilla의 최신 의견은 패치가 불완전하다고 말합니다. 새로운 ID는 CVE-2014-7169입니다.

편집 : gnu.org에는 두 가지 추가 패치가 있으므로 동일한 소스 디렉토리로 다운로드하십시오.

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

그런 다음 SPECS / bash.spec도 다음과 같이 편집하십시오 ( "릴리스"번호 매기기 옵션).

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

1
우리 가이 일을하는 방법을 잊지 않도록 단계별로 +1.
Steve Kehlet

14

RHEL 4 는 "확장 수명"단계에 있으며 보안 업데이트는 유료 고객에게만 제공됩니다. CentOS 4 는 2012 년 3 월부터 지원되지 않습니다.이 이후로는 더 이상 업데이트가 제공되지 않습니다.

유일한 옵션은

  • RedHat과 지원 계약 구매
  • Bash를위한 패키지를 직접 만들어보십시오.
  • 또는 당첨 옵션 :이 시스템을 폐기하고이 보안 문제를 인센티브로 사용하십시오.

4
감사합니다. 여기서 실제 이름을 사용했기 때문에 12 월 10 일 이전에 기계를 폐기 할 수없는 이유를 공개적으로 설명 할 수 없습니다. 나는 당신의 대답을 높이고 감사합니다. 구조가 곧 아무도 나오지 않으면 받아들이겠습니다.
Bob Brown

2
@BobBrown 무엇? 실제로 관리 계정에 사용하는 가상의 이름을 사용했습니다. 기묘한.
HopelessN00b

6
부모님을 비난합니다.
Bob Brown

2

Lewis Rosenthal라는 친절한 영혼이 자신의 FTP 서버 에 CentOS 4 용 Bash RPMS를 업데이트했습니다 . bash-3.0-27.3 RPM은 CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 및 CVE-2014-7187을 해결하는 것으로 생각됩니다. 그는 추가 정보 가 담긴 README 를 가지고 있으며 CentOS 포럼에 대한 토론 이있었습니다 . 이 유용한 올인원 검사 스크립트를 잊지 마십시오 .CVE-2014-7186 검사는 세그먼테이션 오류로 인해 실패하지만 해당 취약성에 대한 다른 테스트는 정상적으로 수행되므로 여전히 문제가 없습니다.

@ tstaylor7지침 에 따라 소스에서 자체 패치 RPM을 빌드하거나 위의 내용을 설치하십시오. 내가 시도했을 때, 둘 다 그 체크 스크립트에서 동일한 결과를 얻었습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.