CVE-2014-6271およびCVE-2014-7169のbashの脆弱性に対してRHEL 4にパッチを適用するにはどうすればよいですか？

Bashを介したリモートコード実行のメカニズムは、昨日および今日広く報告されています（2014年9月24日）。http: //seclists.org/oss-sec/2014/q3/650 CVE-2014-7169またはCVE-2014として報告されています。-6271

公の場で説明するのがあまりにも愚かな理由で、私はRHEL 4を実行しているサーバーに責任があり、更新サブスクリプションはありません。これをテストするためにクローンを作成できますが、誰かが直接答えてくれることを願っています。

1. Centos 4の/ bin / bashにはパッチが適用されていますか？
2. 回避策として（おそらくパッチが適用された）Centos 4 / bin / bashをRHELシステムに入れて、数週間かかることがありますか？（12月10日まで必要です）

el4用のパッチがOracleから提供されています。

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

src RPMなので、それからコンパイルする必要がありますrpmbuild。

または、このリンクを使用してビルドを回避します

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

4.9 i386システムでテストし、私が持っているエクスプロイトテストに合格しました。（テッド）

古いCentOS 4.9サーバーにパッチを適用する必要があったため、Red Hat FTPから最新のソースRPMを取得し、GNU FTPからアップストリームパッチを追加しました。手順は次のとおりです。

まず、http：//bradthemad.org/tech/notes/patching_rpms.phpの「セットアップ」手順に従います。

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

次に、％_ topdirから次のコマンドを実行します。

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

この差分でSPECS / bash.specにパッチを適用します。

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

次に、これらのコマンドで終了します。

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

編集： Red Hat Bugzillaの最新のコメントには、パッチが不完全であると書かれています。新しいIDはCVE-2014-7169です。

編集： gnu.orgから2つの追加パッチがありますので、それらを同じSOURCESディレクトリにダウンロードしてください：

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

次に、SPECS / bash.specも次のように編集します（「リリース」番号はオプションです）。

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

RHEL 4は「長寿命」フェーズにあり、セキュリティ更新プログラムは有料のお客様のみが利用できます。CentOS 4は、2012年3月以降サポート対象外です。これ以降、これに関するアップデートはありません。

あなたの唯一のオプションは

• RedHatとサポート契約を購入する
• Bash用の独自のパッケージをビルドしてみてください。
• または、勝利の選択肢：このマシンを廃止し、このセキュリティ問題をインセンティブとして使用してください。

Lewis Rosenthalという名前の親切な魂が、CentOS 4用の更新されたBash RPMSをFTPサーバーに配置しました。bash-3.0-27.3 RPMは、CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、およびCVE-2014-7187に対応すると考えられています。彼には詳細な情報が記載されたREADMEがあり、CentOSフォーラムで議論がありました。この便利なオールインワンチェックスクリプトを忘れないでください。CVE-2014-7186チェックはセグメンテーションフォールトで失敗することに注意してください。

@ tstaylor7の指示に従って、ソースから独自のパッチを適用したRPMを構築するか、上記をインストールします。私が試したとき、彼らはそのチェックスクリプトで同じ結果を持っていました。