सवाल सीवीई-2014-6271 और सीवीई -2014-7169 में बैश भेद्यता के लिए मैं आरएचईएल 4 कैसे पैच करूं?


बैश के माध्यम से रिमोट कोड निष्पादन के लिए एक तंत्र कल और आज (24 सितंबर, 2014) व्यापक रूप से रिपोर्ट किया गया है। http://seclists.org/oss-sec/2014/q3/650 सीवीई -2014-7169 या सीवीई -2014-6271 के रूप में रिपोर्ट किया गया

सार्वजनिक रूप से व्याख्या करने के लिए मेरे लिए बहुत बेवकूफ कारणों से, मैं आरएचईएल 4 चलाने वाले सर्वर के लिए ज़िम्मेदार हूं और बिना किसी अपडेट सदस्यता के। मैं इसका परीक्षण करने के लिए एक क्लोन बना सकता हूं, लेकिन मुझे आशा है कि किसी के पास सीधा जवाब होगा।

  1. Centos 4 से / bin / bash है पैच किया गया है, या यह होगा?
  2. क्या मैं अपने आरएचईएल सिस्टम में सेंटो 4 / बिन / बैश को एक वर्कअराउंड के रूप में बस एक प्लॉट कर सकता हूं जो मुझे कई सप्ताह खरीद लेगा? (मुझे 10 दिसंबर तक की जरूरत है)

16
2017-09-25 01:35


मूल


अगर यह पूछना है कि मैं इतनी क्रिंग योग्य नहीं हूं तो मैं आपके प्रश्न को उखाड़ फेंक दूंगा। - mc0e
खैर, मैं एक क्रिंग योग्य योग्य स्थिति में हूं। - Bob Brown
जाहिरा तौर पर। होता है। - mc0e


जवाब:


ओरेकल द्वारा el4 के लिए एक पैच प्रदान किया गया है:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

चूंकि यह एक src RPM है, तो आपको तब संकलित करने की आवश्यकता है rpmbuild

या निर्माण से बचने के लिए इस लिंक का उपयोग करें

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

मैंने इसे 4.9 i386 सिस्टम पर परीक्षण किया, मेरे पास शोषण परीक्षण पास हुआ। (टेड)


21
2017-09-25 10:22



नवीनतम संस्करण अब है 3.0-27.0.2: oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (स्रोत) & public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/... (i386) - ऐसा लगता है कि यह सीवीई-2014-7169 अंक भी ठीक है (कोड से परीक्षण किया गया है access.redhat.com/articles/1200223)। - Dave James Miller
ओरेकल बस मेरी किताब में एक पायदान ऊपर चला गया। - Steve Kehlet
हू, के अनुसार oracle.com/us/support/library/... , लिनक्स 4 केवल फरवरी 2013 तक ही समर्थित है। उन्होंने अपवाद बनाया होगा। बहुत ही शांत। - clacke
ये संकुल फेडोरा कोर 3 और फेडोरा कोर 4 के लिए भी काम करते हैं। - Gene
इसके अलावा, 64 बिट 3.0-27.0.3  public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/... - Liam


मुझे पुराने सेंटोस 4.9 सर्वर को पैच करना पड़ा, इसलिए मैंने Red Hat एफ़टीपी से नवीनतम स्रोत आरपीएम खींच लिया और जीएनयू एफ़टीपी से अपस्ट्रीम पैच जोड़ा। कदम नीचे दिए गए हैं:

सबसे पहले, "सेटअप" प्रक्रिया का पालन करें http://bradthemad.org/tech/notes/patching_rpms.php

फिर अपने% _topdir से निम्न आदेश चलाएं:

wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

इस diff के साथ पैच SPECS / bash.spec:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

फिर इन आदेशों के साथ खत्म करें:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

अगर कोई उन्हें अपलोड करने का आसान तरीका जानता है, तो मैं अपना स्रोत और आरपीएम रखूंगा।

संपादित करें: Red Hat Bugzilla में नवीनतम टिप्पणियां कहती हैं कि पैच अपूर्ण है। नई आईडी सीवीई -2014-7169 है।

संपादित करें: Gnu.org से दो अतिरिक्त पैच हैं, इसलिए उन्हें उसी SOURCES निर्देशिका में भी डाउनलोड करें:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

फिर निम्नानुसार SPECS / bash.spec को संपादित करें ("रिलीज़" नंबरिंग वैकल्पिक):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

20
2017-09-25 08:47



चरण-दर-चरण के लिए +1, ताकि हम भूल जाएं कि यह सामान कैसे करें। - Steve Kehlet


आरएचईएल 4 इसमें "विस्तारित जीवन" चरण है और सुरक्षा अद्यतन केवल ग्राहकों को भुगतान करने के लिए उपलब्ध होंगे। CentOS 4 मार्च 2012 से समर्थन से बाहर है। इस समय से इसके लिए कोई और अपडेट उपलब्ध नहीं है।

आपके एकमात्र विकल्प हैं

  • RedHat के साथ एक समर्थन अनुबंध खरीदें
  • बैश के लिए अपना खुद का पैकेज बनाने का प्रयास करें।
  • या विजेता विकल्प: इस मशीन से रिटायर करें और ऐसा करने के लिए इस सुरक्षा समस्या को प्रोत्साहन के रूप में उपयोग करें।

14
2017-09-25 01:44



धन्यवाद। क्योंकि मैंने यहां अपना असली नाम इस्तेमाल किया है, मैं सार्वजनिक रूप से समझा नहीं सकता हूं कि मैं 10 दिसंबर से पहले मशीन से रिटायर क्यों नहीं कर सकता हूं। इस बात के साथ कि यह तीन संस्करणों के बिना अनुबंध के क्यों है। मैंने आपका जवाब उभारा है, और धन्यवाद। अगर कोई भी जल्द ही बचाव के साथ आता है तो मैं इसे स्वीकार करूंगा। - Bob Brown
@ बॉबब्राउन क्या? आपने वास्तव में मेरे प्रशासनिक खातों के लिए उपयोग किए जाने वाले काल्पनिक नाम का उपयोग किया है। अजीब। - HopelessN00b
मैं अपने माता-पिता को दोष देता हूं। - Bob Brown


लुईस रोसेंथल नाम की एक दयालु आत्मा ने सेंटोस 4 के लिए अद्यतन बैश आरपीएमएस को रखा है एफ़टीपी सर्वर। माना जाता है कि बैश-3.0-27.3 आरपीएम सीवीई -2014-6271, सीवीई-2014-7169, सीवीई-2014-7186, और सीवीई-2014-7187 को संबोधित करने के लिए माना जाता है। उसके पास एक README अधिक जानकारी के साथ, और वहां था कुछ चर्चा CentOS मंच पर। मत भूलना यह सहायक सभी में एक चेक स्क्रिप्ट- नोट करें कि सीवीई-2014-7186 चेक सेगमेंटेशन गलती के साथ असफल हो जाएगा, लेकिन यह अभी भी ठीक है, क्योंकि उस भेद्यता के लिए कुछ अन्य परीक्षण ठीक हो गए हैं।

मैं कहूंगा, या तो @tstaylor7की अनुदेश स्रोत से अपना खुद का पैच आरपीएम बनाने या उपरोक्त स्थापित करने के लिए। जब मैंने कोशिश की, तो दोनों के पास उस चेक स्क्रिप्ट में एक ही परिणाम थे।


2
2017-09-30 17:01