Comment corriger RHEL 4 pour les vulnérabilités bash CVE-2014-6271 et CVE-2014-7169 ?

Un correctif a été fourni par Oracle pour el4 :

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Comme il s'agit d'un RPM src, vous devez le compiler ensuite. rpmbuild .

ou utilisez ce lien pour éviter la construction

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Je l'ai testé sur un système i386 4.9, il a passé le test d'exploitation que j'ai. (Ted)

J'ai dû corriger un vieux serveur CentOS 4.9, j'ai donc récupéré le dernier RPM source sur le FTP de Red Hat et ajouté le correctif amont sur le FTP de GNU. Les étapes sont les suivantes :

Tout d'abord, suivez la procédure de "Setup" à partir de http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Exécutez ensuite les commandes suivantes à partir de votre %_topdir :

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Corrigez SPECS/bash.spec avec cette différence :

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Puis terminez avec ces commandes :

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Editar: Les derniers commentaires dans le Bugzilla de Red Hat indiquent que le patch est incomplet. Le nouvel ID est CVE-2014-7169.

Editar: Il y a deux correctifs supplémentaires provenant de gnu.org, donc téléchargez-les également dans le même répertoire SOURCES :

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Puis modifiez également le fichier SPECS/bash.spec comme suit (la numérotation "Release" est facultative) :

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

RHEL 4 est dans sa phase de "vie prolongée" et les mises à jour de sécurité ne seront disponibles que pour les clients payants. CentOS 4 n'est plus soutenu depuis mars 2012. Aucune autre mise à jour n'est disponible pour ce produit depuis cette date.

Vos seules options sont

• Acheter un contrat de support avec RedHat
• Essayez de construire votre propre paquetage pour Bash.
• Ou l'option gagnante : Retirer cette machine et utiliser ce problème de sécurité comme une incitation à le faire.

Une bonne âme nommée Lewis Rosenthal a mis à jour les RPMS Bash pour CentOS 4 sur son site web. Serveur FTP . Le RPM bash-3.0-27.3 corrigerait CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, et CVE-2014-7187. Il a un README avec plus d'informations, et il y avait une discussion sur les forums CentOS. N'oubliez pas cette vérification utile tout-en-un script --Notez que la vérification de CVE-2014-7186 échouera avec une erreur de segmentation, mais on pense qu'elle est correcte, car d'autres tests pour cette vulnérabilité sont corrects.

Je dirais, soit suivre @ tstaylor7 's instructions pour construire votre propre RPM corrigé à partir des sources ou installer ce qui précède. Lorsque j'ai essayé, ils ont tous deux eu les mêmes résultats en ce qui concerne la vérification de script.