¿Cómo parcheo RHEL 4 para las vulnerabilidades de bash en CVE-2014-6271 y CVE-2014-7169?

16

Un mecanismo para la ejecución remota de código a través Bash ha informado ampliamente de ayer y de hoy (24 de septiembre de 2014.) http://seclists.org/oss-sec/2014/q3/650 Reportado como CVE-2014-7169 o CVE-2014 -6271

Por razones demasiado estúpidas para que lo explique en público, soy responsable de un servidor que ejecuta RHEL 4 y sin suscripción de actualización. Podría construir un clon para probar esto, pero espero que alguien tenga una respuesta directa.

  1. ¿Se ha parcheado / bin / bash de Centos 4, o será?
  2. ¿Puedo colocar un Centos 4 / bin / bash (presumiblemente parcheado) en mi sistema RHEL como una solución alternativa que me comprará varias semanas? (Necesito hasta el 10 de diciembre)
Bob Brown
fuente

Respuestas:

21

Oracle ha proporcionado un parche para el4:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Como es un RPM src, entonces necesitas compilarlo rpmbuild.

o use este enlace para evitar la compilación

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Lo probé en un sistema 4.9 i386, pasé la prueba de explotación que tengo. (Ted)

Jina martin
fuente
1
La última versión es ahora 3.0-27.0.2 : oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (fuente) y public-yum.oracle.com/repo/ EnterpriseLinux / EL4 / latest / i386 /… (i386): esto parece solucionar el problema CVE-2014-7169 también (probado con el código de access.redhat.com/articles/1200223 ).
Dave James Miller
Oracle solo subió un nivel en mi libro.
Steve Kehlet
Huh, según oracle.com/us/support/library/… , Linux 4 solo es compatible hasta febrero de 2013. Deben haber hecho una excepción. Muy genial.
clacke
Estos paquetes también funcionan para Fedora Core 3 y Fedora Core 4.
Gene
20

Tuve que parchear un viejo servidor CentOS 4.9, así que saqué el último RPM de origen del FTP de Red Hat y agregué el parche ascendente del FTP de GNU. Los pasos son los siguientes:

Primero, siga el procedimiento de "Configuración" de http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Luego ejecute los siguientes comandos desde su% _topdir:

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Parche SPECS / bash.spec con esta diferencia:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Luego termina con estos comandos:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Editar: Los últimos comentarios en Red Hat Bugzilla dicen que el parche está incompleto. La nueva identificación es CVE-2014-7169.

Editar: Hay dos parches adicionales de gnu.org, así que descárguelos también en el mismo directorio de FUENTES:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Luego también edite SPECS / bash.spec de la siguiente manera (numeración "Release" opcional):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019
tstaylor7
fuente
1
+1 para el paso a paso, para que no olvidemos cómo hacer esto.
Steve Kehlet
14

RHEL 4 está en su fase de "vida extendida" y las actualizaciones de seguridad solo estarán disponibles para los clientes que pagan. CentOS 4 está fuera de soporte desde marzo de 2012. No hay más actualizaciones disponibles para esto desde este momento.

Sus únicas opciones son

  • Compre un contrato de soporte con RedHat
  • Intenta crear tu propio paquete para Bash.
  • O la opción ganadora: retire esta máquina y use este problema de seguridad como incentivo para hacerlo.
Sven
fuente
44
Gracias. Como utilicé mi nombre real aquí, no puedo explicar en público por qué no puedo retirar la máquina antes del 10 de diciembre. Lo mismo ocurre con las tres versiones anteriores sin contrato. He votado tu respuesta y gracias. Lo aceptaré si a nadie se le ocurre un rescate muy pronto.
Bob Brown el
2
@BobBrown ¿Qué? En realidad has usado el nombre ficticio que uso para mis cuentas administrativas. Extraño.
HopelessN00b
66
Culpo a mis padres.
Bob Brown
2

Un alma amable llamada Lewis Rosenthal ha colocado Bash RPMS actualizado para CentOS 4 en su servidor FTP . Se cree que el bash-3.0-27.3 RPM se dirige a CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 y CVE-2014-7187. Tiene un archivo README con más información, y hubo un debate en los foros de CentOS. No olvide este útil script de verificación todo en uno: tenga en cuenta que la verificación CVE-2014-7186 fallará con una falla de segmentación, pero aún se cree que está bien, porque algunas otras pruebas para esa vulnerabilidad resultan bien.

Yo diría que siga las instrucciones de @ tstaylor7 para construir su propio RPM parcheado desde la fuente o instale lo anterior. Cuando lo intenté, ambos tuvieron los mismos resultados en ese script de verificación.

Steve Kehlet
fuente