CVE-2014-6271 এবং CVE-2014-7169 এ ব্যাশ দুর্বলতার জন্য আমি কীভাবে আরএইচএল 4 প্যাচ করব?

16

বাশের মাধ্যমে রিমোট কোড প্রয়োগের একটি প্রক্রিয়া গতকাল এবং আজ (২৪ শে সেপ্টেম্বর, ২০১৪) সর্বদা বিস্তৃতভাবে প্রকাশিত হয়েছে http: // -6271

আমার কাছে জনসম্মুখে ব্যাখ্যা করার জন্য খুব বোকা কারণগুলির জন্য, আমি RHEL 4 চালিত সার্ভারের জন্য এবং কোনও আপডেট সাবস্ক্রিপশন ছাড়াই দায়বদ্ধ। আমি এটি পরীক্ষার জন্য একটি ক্লোন তৈরি করতে পারি, তবে আমি আশা করি কারও প্রত্যক্ষ উত্তর হবে।

  1. সেন্টোস 4 এর / বিন / বাশ কি প্যাচ করেছে, নাকি তা হবে?
  2. আমি কি কেবলমাত্র আমার (আরএইচডি) পেনিসটি 4 / বিন / ব্যাশকে আমার আরএইচইএল সিস্টেমে ওয়ার্কআরউন্ড হিসাবে প্লপ করতে পারি যা আমাকে কয়েক সপ্তাহ কিনে দেবে? (আমি 10 ডিসেম্বর পর্যন্ত প্রয়োজন)
centos  bash  exploit  rhel4 
বব ব্রাউন
সূত্র

উত্তর:

21

এল 4 এর জন্য ওরাকল একটি প্যাচ সরবরাহ করেছেন:

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.1.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm

https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.el4.src.rpm

এটি একটি src আরপিএম হিসাবে, আপনাকে তখন সংকলন করতে হবে rpmbuild

বা বিল্ড এড়ানোর জন্য এই লিঙ্কটি ব্যবহার করুন

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.1.el4.i386.rpm

http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

আমি এটি একটি 4.9 আই 386 সিস্টেমে পরীক্ষা করেছি, আমার শোষণ পরীক্ষায় উত্তীর্ণ হয়েছে। (টেড)

জিনা মার্টিন
সূত্র
1
সর্বশেষতম সংস্করণটি এখন 3.0-27.0.2 : oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.2.el4.src.rpm (উত্স) এবং সর্বজনীন- yum.oracle.com/repo/ এন্টারপ্রাইজলিনাক্স / ইএল 4 / সর্বশেষ / i386 /… (আই 386) - এটি সিভিই -2014-7169 সমস্যাটিও খুব সহজে সমাধান করেছে বলে মনে হচ্ছে ( অ্যাক্সেস . redhat.com/articles/1200223 থেকে কোড পরীক্ষা করা )।
ডেভ জেমস মিলার
ওরাকল সবেমাত্র আমার বইয়ের একটি খাঁজ ফেলেছিল।
স্টিভ কেহলেট
হুঁ , ওরাকল.com / us / support / library /… এর মতে লিনাক্স 4 কেবল ফেব্রুয়ারী 2013 পর্যন্ত সমর্থিত They তারা অবশ্যই একটি ব্যতিক্রম করেছে। খুব ঠান্ডা.
ক্লেক
এই প্যাকেজগুলি ফেডোরা কোর 3 এবং ফেডোরা কোর 4 এর জন্যও কাজ করে
জিন
লিয়াম
20

আমাকে একটি পুরানো সেন্টোস ৪.৯ সার্ভার প্যাচ করতে হয়েছিল, তাই আমি রেড হ্যাট এফটিপি থেকে সর্বশেষ উত্স আরপিএম টেনে জিএনইউ এফটিপি থেকে আপস্ট্রিম প্যাচ যুক্ত করেছি। পদক্ষেপ নীচে রয়েছে:

প্রথমে http://bradthemad.org/tech/notes/patching_rpms.php থেকে "সেটআপ" পদ্ধতিটি অনুসরণ করুন :

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

তারপরে আপনার% _Tddir থেকে নিম্নলিখিত কমান্ডগুলি চালান: 

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

এই পৃথকতার সাথে স্পেস / bash.spec প্যাচ করুন:

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

তারপরে এই আদেশগুলি দিয়ে শেষ করুন:

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

সম্পাদনা: রেড হ্যাট বাগজিলায় সর্বশেষ মন্তব্যগুলি বলে যে প্যাচটি অসম্পূর্ণ। নতুন আইডি সিভিই -2014-7169।

সম্পাদনা করুন: gnu.org থেকে দুটি অতিরিক্ত প্যাচ রয়েছে, সুতরাং সেগুলি একই উত্স ডিরেক্টরিতে ডাউনলোড করুন:

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

তারপরে SPECS / bash.spec কে নিম্নরূপে সম্পাদনা করুন ("রিলিজ" সংখ্যায়ন numberচ্ছিক):

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019
tstaylor7
সূত্র
1
ধাপে ধাপে +1 করুন, পাছে আমরা কীভাবে এই জিনিসগুলি করব তা ভুলে যাব।
স্টিভ কেহলেট
14

আরএইচএল 4 এটির "বর্ধিত জীবন" পর্যায়ে রয়েছে এবং সুরক্ষা আপডেটগুলি কেবল অর্থ প্রদান করা গ্রাহকদের জন্য উপলব্ধ। CentOS 4 মার্চ ২০১২ সাল থেকে বাহিরে রয়েছে। এই সময়ের জন্য এর জন্য আর কোনও আপডেট উপলব্ধ নেই।

আপনার একমাত্র বিকল্পগুলি হল

  • রেডহ্যাট সহ একটি সমর্থন চুক্তি কিনুন
  • বাশের জন্য আপনার নিজস্ব প্যাকেজ তৈরি করার চেষ্টা করুন।
  • বা বিজয়ী বিকল্প: এই মেশিনটিকে অবসর দিন এবং এই সুরক্ষা ইস্যুকে এটির জন্য উত্সাহ হিসাবে ব্যবহার করুন।
সোভেন
সূত্র
4
ধন্যবাদ. যেহেতু আমি এখানে আমার আসল নামটি ব্যবহার করেছি, আমি কেন প্রকাশ্যে 10 ডিসেম্বর এর আগে মেশিনটি অবসর নিতে পারি না তা আমি প্রকাশ্যে ব্যাখ্যা করতে পারি না কেন এটি কোনও চুক্তি ছাড়াই কেন তিনটি সংস্করণে ফিরে এসেছে with আমি আপনার উত্তর upvated, এবং ধন্যবাদ যদি কেউ খুব শীঘ্রই উদ্ধারকাজ না নিয়ে আসে তবে আমি তা গ্রহণ করব।
বব ব্রাউন
2
নিবন্ধন করুন আপনি আমার প্রশাসনিক অ্যাকাউন্টগুলির জন্য সত্যই আমি যে কল্পিত নামটি ব্যবহার করি তা ব্যবহার করেছি। রহস্যময়।
আশাহীন
6
আমি আমার বাবা-মাকে দোষ দিই।
বব ব্রাউন
2

লুইস রোজেন্থাল নামে এক দয়ালু আত্মা তার এফটিপি সার্ভারে সেন্টোস 4-র জন্য আপডেটড ব্যাশ আরপিএমএস স্থাপন করেছেন । ব্যাশ-3.0-27.3 আরপিএম সিভিই -2014-6271, সিভিই -2014-7169, সিভিই-2014-7186, এবং সিভিই-2014-7187-তে সম্বোধন করবে বলে বিশ্বাস করা হচ্ছে। তিনি হয়েছে README আরও তথ্যের সঙ্গে, এবং ছিল কিছু আলোচনা সেন্টওএস ফোরামে। ভুলবেন না এই সহায়ক সব কিছু এক চেক স্ক্রিপ্ট --note যে জন্য CVE-2014-7186 চেক একটি সেগমেন্টেশন ফল্ট ব্যর্থ হয়ে যাবে, কিন্তু এটি এখনও বিশ্বাস হচ্ছে কারণ যে দুর্বলতার জন্য কিছু অন্যান্য পরীক্ষা চালু ঠিক আছে ঠিক হয়ে যাবে।

আমি বলব, হয় উত্স থেকে আপনার নিজস্ব প্যাচযুক্ত আরপিএম তৈরি করতে বা উপরেরটি ইনস্টল করার জন্য @ tstaylor7 এর নির্দেশাবলী অনুসরণ করুন । আমি যখন চেষ্টা করেছি তখন সেই চেক স্ক্রিপ্টে দুজনেরই একই ফলাফল ছিল।

স্টিভ কেহলেট
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.