Patcher bash sur une distribution plus supportee comme fedora 11
Pour ceux qui ont des serveurs roulant sur des vieilles fedora, il est nécessaire de mettre a jour la version de bash afin de corriger le bug de sécurité découvert récemment :
http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
https://www.us-cert.gov/ncas/alerts/TA14-268A
Ici sur une fedora 11 qui n’est plus supportée, on va downloader la derniere version de bash et patcher le code, afin de fixer le probleme.
Voici les etapes :
On va dans le dossier ou on stocke generalement le source de nos programmes :
[bash]cd /usr/local/src[/bash]
Puis on va downloader la derniere version de bash
[bash]wget http://ftp.gnu.org/pub/gnu/bash/bash-4.3.tar.gz[/bash]
On decompresse le dossier :
[bash]tar xvzf bash-4.3.tar.gz[/bash]
On va dans le dossier extrait :
[bash]cd bash-4.3[/bash]
On download le patch qui limite le probleme de securite :
[bash]wget http://ftp.gnu.org/pub/gnu/bash/bash-4.3-patches/bash43-025[/bash]
On patch le code source :
[bash]patch -p0 < bash43-025[/bash]
(le patch est ok malgre l’erreur relative au patch de la revision – cette erreur apparait car nous n’avons pas applique tous les 24 patches precedents – vous pouvez downloader les patches un par un depuis le serveur de sources : http://ftp.gnu.org/pub/gnu/bash/bash-4.3-patches/ et tous les appliquer un par un)
On va rouler le configure :
[bash]./configure[/bash]
On compile
[bash]make[/bash]
Si tout est ok, on install :
[bash]make install[/bash]
Comme les version compilee vont s’installer par defaut dans /usr/local/bin alors que les binaires de la distrib vont par defaut dans /bin ou /usr/bin on va devoir renommer l’ancien binaire, et creer un lien vers le nouveau :
[bash]mv /bin/bash /bin/bash-distorig
ln -s /usr/local/bin/bash /bin/[/bash]
et voila, il n’a plus qu’a tester l’exploit comme suit pour s’assurer qu’on a regle le probleme :
[bash]env x='() { :;}; echo vulnerable’ bash -c "echo this is a test"[/bash]
Ajouter un commentaire
Publicité – liens
Calendrier
Recherche
Derniers articles
- How to delete all resources in azure to avoid charges after trial on your forced credit card registration
- Proxmox – ZFS – Dead drive on active VM, recover from replicated disk
- Restrict access to proxmox web admin interface
- Migrate your ESXI VMs to proxmox ZFS
- Install your VPN server with pi-hole on OVH VPS in 30 min
Tresronours Twitter
Keywords cloud topic
Membre de la FSF
![[FSF Associate Member]](https://blog.inforeseau.com/fsf.png){kind=small}
Liens qui vont bien
Mots clés vrac – keyword cloud
License du contenu – CC By NC SA
This création is licensed under a Creative Commons Paternité - Pas d'Utilisation Commerciale - Partage des Conditions Initiales à l'Identique 2.0 France License.
Archives
- How to delete all resources in azure to avoid charges after trial on your forced credit card registration
- Proxmox – ZFS – Dead drive on active VM, recover from replicated disk
- Restrict access to proxmox web admin interface
- Migrate your ESXI VMs to proxmox ZFS
- Install your VPN server with pi-hole on OVH VPS in 30 min
- Using raspberry pi 3 as wifi bridge and repeater and firewall
- Raspberry 3 – create a wifi repeater with USB wifi dongle
- raspberry 3 – routeur pare feu point d’acces wifi avec filtrage pub et tracking – router firewall access point with ads and tracking filtering
- Dell XPS 13 touchpad – corriger la sensibilité
- Utiliser Zazeen set top box depuis une connexion videotron
- Fermeture de mon compte facebook – la dernière goutte
- Choisir un kernel par defaut au demarrage de Centos 7.2 – configuration grub2
- Openvpn access server 2.0.25 et android
- Régler la luminosité du laptop par ligne de commande
- chromium outlook web app version complete sous linux
- Nexus 7 2012 – android 5 lollipop solution au probleme de lenteur
- HDD led sur Xubuntu – xfce
- xubuntu 14.04 verrouiller ecran de veille et desactiver mise en veille a la fermeture de l’ecran
- Authentification avec Radmin en utilisant Wine sur Gentoo
- Patcher bash sur une distribution plus supportee comme fedora 11
- Zimbra desktop sous xubuntu 14.04 64bit – fix
- xubuntu 12.10 probleme de son avec VLC – pulse audio – alsa – toshiba L855D – solution
- Evolution sous xubuntu 12.10 – bug affichage a la configuration – solution temporaire
- Booster son acces internet en changeant de DNS pour opendns
- Serveur DLNA sous ubuntu – minidlna
- sshfs sous windows – dokan sshfs
- xubuntu 11.10 Installer le plugin java pour firefox
- Installer Google Earth sur Xubuntu 11.10
- Installer nagios sur Fedora 11 depuis les sources
- Configurer varnish-cache avec des virtualhosts, apache, fedora, redhat, centos
- Installer Varnish depuis les sources sur Fedora 11
- Replication mysql – Configuration maitre-esclave
- Journée anti DRM – le 4 Mai 2011
- Configurer le menu grub en interface graphique – startupmanager – ubuntu gnu linux
- Déconnexions avec le routeur sans fil thomson TG585 v7 et les coupures adsl
- Installation de GFS pour utilisation avec volume DRBD sous Centos 5.5 ou redhat
- Installation DRBD sur Centos 5.5 ou redhat
- mod_pagespeed pour apache mise à jour – update
- Centos 5- Redhat, reconstruire un rpm depuis rpms – rpmbuild et installer openvpn
- Ubuntu : pare feu ufw en ligne de commande – iptables frontend
- Faire tourner Redmine sur fedora 11 avec une installation rubyonrails un peu trop récente
- Installer ruby on rails sur fedora 11
- Imaps avec stunnel – ajouter le ssl au serveur imap port 993
- Configurer FTPS ssl/tls avec proftpd sur fedora 11
- Configurer iscsi client et serveur sous GNU/Linux – stockage reseau ou SAN personnel sur IP
- GuiguiAbloc, un blogue qui merite d’être connu – linux – geek
- Utiliser SFLphone avec une ligne SIP OVH
- Resoudre probleme d’espace sur /boot sous ubuntu – kernel
- Installer Google earth 6 sur ubuntu 10.10 64 bit x86_64
- Corriger plugin post-notification wordpress