如何修补 RHEL 4 中的 Bash 漏洞 CVE-2014-6271 和 CVE-2014-7169？

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

然后从 %_topdir 运行以下命令：

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

使用以下差异修补 SPECS/bash.spec：

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

然后使用以下命令完成：

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

编辑：Red Hat Bugzilla 中的最新评论称该补丁不完整。新 ID 为 CVE-2014-7169。

编辑：gnu.org 提供了两个附加补丁，因此也将它们下载到同一个 SOURCES 目录中：

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

然后还编辑 SPECS/bash.spec 如下（“发布”编号可选）：

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

Answer

我必须修补旧的 CentOS 4.9 服务器，因此我从 Red Hat FTP 提取了最新的源 RPM，并从 GNU FTP 添加了上游补丁。步骤如下：

首先，按照“设置”步骤http://bradthemad.org/tech/notes/patching_rpms.php：

echo "%_topdir    /home/$(whoami)/src/rpm" > ~/.rpmmacros
mkdir -p ~/src/rpm/{BUILD,RPMS,SOURCES,SPECS,SRPMS
mkdir -p ~/src/rpm/RPMS/{i386,i486,i586,i686,noarch,athlon}

然后从 %_topdir 运行以下命令：

cd ~/src/rpm
wget http://ftp.redhat.com/redhat/linux/updates/enterprise/4ES/en/os/SRPMS/bash-3.0-27.el4.src.rpm
rpm -ivh bash-3.0-27.el4.src.rpm
cd SOURCES
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-017
cd ..

使用以下差异修补 SPECS/bash.spec：

4c4
< Release: 27%{?dist}
---
> Release: 27.2%{?dist}
28a29
> Patch17: bash30-017
110c111,112
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017

然后使用以下命令完成：

rpmbuild -ba SPECS/bash.spec
sudo rpm -Uvh RPMS/i386/bash-3.0-27.2.i386.rpm

编辑：Red Hat Bugzilla 中的最新评论称该补丁不完整。新 ID 为 CVE-2014-7169。

编辑：gnu.org 提供了两个附加补丁，因此也将它们下载到同一个 SOURCES 目录中：

wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-018
wget http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019

然后还编辑 SPECS/bash.spec 如下（“发布”编号可选）：

4c4
< Release: 27%{?dist}
---
> Release: 27.2.019%{?dist}
28a29,31
> Patch17: bash30-017
> Patch18: bash30-018
> Patch19: bash30-019
110c113,116
< #%patch16 -p0 -b .016
---
> %patch16 -p0 -b .016
> %patch17 -p0 -b .017
> %patch18 -p0 -b .018
> %patch19 -p0 -b .019

Question 3

红帽企业版 4正处于“延长生命”阶段，安全更新仅向付费客户提供。CentOS 4自 2012 年 3 月起不再提供支持。自此之后不再提供进一步的更新。

你唯一的选择是

与 RedHat 购买支持合同
尝试为 Bash 构建自己的包。
或者获胜的选择：淘汰这台机器，并利用这个安全问题作为这样做的激励。

Answer

红帽企业版 4正处于“延长生命”阶段，安全更新仅向付费客户提供。CentOS 4自 2012 年 3 月起不再提供支持。自此之后不再提供进一步的更新。

你唯一的选择是

与 RedHat 购买支持合同
尝试为 Bash 构建自己的包。
或者获胜的选择：淘汰这台机器，并利用这个安全问题作为这样做的激励。

Question 4

一位名叫 Lewis Rosenthal 的好心人在他的FTP 服务器。bash-3.0-27.3 RPM 被认为可以解决 CVE-2014-6271、CVE-2014-7169、CVE-2014-7186 和 CVE-2014-7187 问题。他有一个自述有了更多的信息，一些讨论在 CentOS 论坛上。别忘了这个有用的一体化检查脚本——请注意，CVE-2014-7186 检查将因分段错误而失败，但仍认为没有问题，因为针对该漏洞的一些其他测试结果没有问题。

我想说，要么关注@tstaylor7的指示从源代码构建您自己的修补 RPM 或安装上述内容。当我尝试时，它们在该检查脚本中都得到了相同的结果。

Answer

一位名叫 Lewis Rosenthal 的好心人在他的FTP 服务器。bash-3.0-27.3 RPM 被认为可以解决 CVE-2014-6271、CVE-2014-7169、CVE-2014-7186 和 CVE-2014-7187 问题。他有一个自述有了更多的信息，一些讨论在 CentOS 论坛上。别忘了这个有用的一体化检查脚本——请注意，CVE-2014-7186 检查将因分段错误而失败，但仍认为没有问题，因为针对该漏洞的一些其他测试结果没有问题。

我想说，要么关注@tstaylor7的指示从源代码构建您自己的修补 RPM 或安装上述内容。当我尝试时，它们在该检查脚本中都得到了相同的结果。

如何修补 RHEL 4 中的 Bash 漏洞 CVE-2014-6271 和 CVE-2014-7169？

答案1

答案2

答案3

答案4

相关内容