Comment mettre à jour RHEL 4 pour les vulnérabilités de bash dans CVE-2014-6271 et CVE-2014-7169?

Un correctif a été fourni par Oracle pour el4:

https://oss.Oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.Oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.Oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.Oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

Comme il s'agit d'un RPM src, vous devez compiler puis rpmbuild.

ou utilisez ce lien pour éviter la construction

http://public-yum.Oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.Oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

Je l'ai testé sur un système 4.9 i386, j'ai réussi le test d'exploitation que j'ai. (Ted)

J'ai dû patcher un ancien serveur CentOS 4.9, j'ai donc extrait le dernier RPM source du FTP Red Hat et ajouté le patch en amont du FTP GNU. Les étapes sont les suivantes:

Tout d'abord, suivez la procédure "Configuration" de http://bradthemad.org/tech/notes/patching_rpms.php :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

Exécutez ensuite les commandes suivantes à partir de votre% _topdir:

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

Patch SPECS/bash.spec avec ce diff:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

Terminez ensuite avec ces commandes:

rpmbuild -ba SPECS/bash.spec
Sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

Edit: Les derniers commentaires dans le Red Hat Bugzilla disent que le patch est incomplet. Le nouvel ID est CVE-2014-7169.

Edit: Il existe deux correctifs supplémentaires de gnu.org, alors téléchargez-les également dans le même répertoire SOURCES:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

Modifiez ensuite également SPECS/bash.spec comme suit (numérotation "Release" facultative):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

RHEL 4 est dans sa phase de "durée de vie prolongée" et les mises à jour de sécurité ne seront disponibles que pour les clients payants. CentOS 4 n'est plus pris en charge depuis mars 2012. Aucune autre mise à jour n'est disponible depuis lors.

Vos seules options sont de

• Acheter un contrat de support avec RedHat
• Essayez de créer votre propre package pour Bash.
• Ou l'option gagnante: retirez cette machine et utilisez ce problème de sécurité comme incitation à le faire.

Une bonne âme nommée Lewis Rosenthal a placé Bash RPMS mis à jour pour CentOS 4 sur son serveur FTP . Le RPM bash-3.0-27.3 est censé traiter CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 et CVE-2014-7187. Il a un README avec plus d'informations, et il y avait quelques discussions sur les forums CentOS. N'oubliez pas ce script de vérification tout-en-un utile - notez que la vérification CVE-2014-7186 échouera avec une erreur de segmentation, mais on pense toujours qu'elle est correcte, car certains autres tests pour cette vulnérabilité se présente bien.

Je dirais, soit suivez @ tstaylor7instructions pour créer votre propre RPM patché à partir de la source ou installez ce qui précède. Quand j'ai essayé, ils ont tous deux eu les mêmes résultats dans ce script de vérification.