Linuxのbashの件(ShellShock)

パッチが何回もでて大変面倒なのですが、一応おさまってきたようなのでメモ(CentOS,RHELのみ)
 
bash自体はログインしてないとあまり使うことはないと思いますが、PHPやPerlなどのWebサイトから呼び出しされると(大変)危なそうな感じです。
 
CentOS 5,6,7はメンテナンス中なので対応済みパッケージのインストール「yum update bash」でおしまい

bash-3.2-33.el5_11.4 (RHEL5,CentOS5)
bash-4.1.2-15.el6_5.2 (RHEL6,CentOS6)
bash-4.2.45-5.el7_0.4 (RHEL7,CentOS7)

 
 
で、CentOS4(RHEL4)とかって、ぶっちゃけまだあるわけですよ(^^;
どうしたもんだと思ったら、RHEL4の延長サポート中でパッケージがでてて、どうもOracle Linuxのほうはソースが公開されているらしいってことで、そっちからとってこればいれれそうとのこと。(オープンソースバンザイ(笑))
 
Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)(redhat)
 
この投稿時点では「bash-3.0-27.0.3.el4.src.rpm」が最新

wget  https://oss.oracle.com/el4/SRPMS-updates/bash-3.0-27.0.3.el4.src.rpm
rpmbuild --rebuild ./bash-3.0-27.0.2.el4.src.rpm
cp /bin/bash /bin/bash.old
rpm -Uvh /usr/src/redhat/RPMS/i386/bash-3.0-27.0.3.i386.rpm

 
 
 
<関連>
[CentOS] CentOS4のリポジトリ(vault.centos.org)(1w1.org)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA