Wie kann ich RHEL 4 für die Bash-Schwachstellen in CVE-2014-6271 und CVE-2014-7169 patchen?

Ein Mechanismus für eine Remotecodeausführung durch Bash wurde gestern und heute (24. September 2014) ausführlich berichtet http://seclists.org/oss-sec/2014/q3/650 Berichtet als CVE-2014-7169 oder CVE-2014 -6271

Aus Gründen, die für mich zu dumm sind, um sie öffentlich zu erklären, bin ich für einen Server mit RHEL 4 und ohne Update-Abonnement verantwortlich. Ich könnte einen Klon bauen, um dies zu testen, aber ich hoffe, dass jemand eine direkte Antwort hat.

1. Wurde / bin / bash von Centos 4 gepatcht oder wird es das sein?
2. Kann ich einfach einen (vermutlich gepatchten) Centos 4 / bin / bash in mein RHEL-System stecken, um das Problem zu umgehen, das mir mehrere Wochen einbringt? (Ich brauche bis zum 10. Dezember)

Von Oracle wurde ein Patch für el4 bereitgestellt:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Da es sich um ein src-RPM handelt, müssen Sie es anschließend kompilieren rpmbuild.

oder verwenden Sie diesen Link, um den Build zu vermeiden

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Ich habe es auf einem 4.9 i386-System getestet und den von mir durchgeführten Exploit-Test bestanden. (Ted)

Ich musste einen alten CentOS 4.9-Server patchen, also zog ich das neueste Quell-RPM vom Red Hat-FTP und fügte den Upstream-Patch vom GNU-FTP hinzu. Die Schritte sind unten:

Folgen Sie zunächst dem "Setup" -Verfahren unter http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Führen Sie dann die folgenden Befehle in Ihrem% _topdir aus:

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Patch SPECS / bash.spec mit diesem Unterschied:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Beenden Sie dann mit diesen Befehlen:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Bearbeiten: Die neuesten Kommentare in Red Hat Bugzilla besagen, dass der Patch unvollständig ist. Die neue ID lautet CVE-2014-7169.

Bearbeiten: Es gibt zwei zusätzliche Patches von gnu.org, also lade diese auch in dasselbe SOURCES-Verzeichnis herunter:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Bearbeiten Sie dann auch die SPECS / bash.spec wie folgt (Nummerierung "Release" optional):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

RHEL 4 befindet sich in der "Extended Life" -Phase und Sicherheitsupdates stehen nur zahlenden Kunden zur Verfügung. CentOS 4 wird seit März 2012 nicht mehr unterstützt. Zu diesem Zeitpunkt sind keine weiteren Updates verfügbar.

Ihre einzigen Möglichkeiten sind zu

• Kaufen Sie einen Supportvertrag mit RedHat
• Versuchen Sie, Ihr eigenes Paket für Bash zu erstellen.
• Oder die Gewinnoption: Schalten Sie diesen Computer aus und nutzen Sie dieses Sicherheitsproblem als Anreiz, dies zu tun.

Eine freundliche Seele namens Lewis Rosenthal hat aktualisierte Bash-RPMS für CentOS 4 auf seinen FTP-Server gestellt . Es wird angenommen, dass sich die Bash-3.0-27.3-U / min auf CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 und CVE-2014-7187 beziehen. Er hat eine README mit weiteren Informationen und es gab einige Diskussionen in den CentOS-Foren. Vergessen Sie nicht dieses hilfreiche All-in-One-Überprüfungsskript - beachten Sie, dass die CVE-2014-7186-Überprüfung mit einem Segmentierungsfehler fehlschlägt, es wird jedoch weiterhin angenommen, dass dies in Ordnung ist, da einige andere Tests für diese Sicherheitsanfälligkeit in Ordnung sind.

Ich würde sagen, folgen Sie entweder den Anweisungen von @ tstaylor7 , um Ihr eigenes gepatchtes RPM aus dem Quellcode zu erstellen, oder installieren Sie das obige. Als ich es versuchte, hatten beide die gleichen Ergebnisse in diesem Überprüfungsskript.