Mais conteúdo relacionado
Semelhante a RHELのEOLがCentOSに及ぼす影響 (20)
RHELのEOLがCentOSに及ぼす影響
- 1. RHEL の EOL が CentOS に及ぼす影響
Kazuki Omo( 面 和毅 ): ka-omo@sios.com
OSS/Security Evangelist
SIOS Technology, Inc.
- 2. 2
Who am I ?
- Security Researcher/Engineer (17 years)
- SELinux/MAC Evangelist (12 years)
- Antivirus Engineer (3 years)
- SIEM Engineer (3 years)
- Linux Engineer (17 years)
- 3. 3
アジェンダ
1. RHEL の EOL が CentOS に及ぼす影響
2. 実例で見てみる
2.1 CentOS 4 系の時
2.2 CentOS 5 系と最新の脆弱性情報
3. まとめ
- 5. 5
RHEL の EOL ですよね。
RHEL の EOL か。。。うちは CentOS だし大丈夫だろう
工工エエエエ (´Д`) エエエエ工工
- 9. 9
結局 CentOS は
●
CentOS は良くも悪くも RHEL の「クローン」
●
パッケージ更新も RHEL に従う
●
RHEL のパッケージ更新がなくなれば CentOS も
パッケージ更新が無くなる
脆弱性が出たり、バグがあっても更新されない!!
- 12. 12
覚えていますか?
SHELL SHOCK!!!
2014 年 9 月 24 日 GNU bash の脆弱性情報が公開
幅広い bash のバージョンが対象
環境変数を利用してプログラムを実行できる。リモートからも。
●
JVNVU#97219505 GNU Bash に OS コマンドインジェクションの脆弱性
●
JPCERT/CC GNU bash の脆弱性に関する注意喚起
●
JPCERT/CC TCP 10000 番ポートへのスキャンの増加に関する注意喚起
●
IPA bash の脆弱性対策について (CVE-2014-6271 等 )
- 13. 13
この ShellShock は影響大きくて。。。
デモを見ましょう
ls -l
total 8
-rwxr-xr-x 1 root root 94 Jan 22 06:36 test.cgi
cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
リモートから!!
- 16. 16
一方 CentOS4 は
[sios@localhost ~]$ cat /etc/redhat-release
CentOS release 4.9 (Final)
[sios@localhost ~]$ env 'x=() { :;}; echo vulnerable'
'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c
"echo test"
vulnerable
え?でも誰が更新パッケージ出してくれるの???
- 19. 19
でも CentOS 3.x 以前の人は。。。
自前でソース見て作る
・「互換品」も無い
・ ELS 無いので情報もほぼ出ない
のでとっても大変。。。。
- 24. 24
なんでこんなことが起こるの?
RHEL のカーネルと素の (Vanilla) カーネルは異なる
RHEL のカーネルは Vanilla カーネルに色々手を
加えたもの ( 上位バージョンからのバックポートを含む )
[root@localhost SOURCES]# ls -lh *patch
-rw-r--r-- 1 root root 96M Sep 6 2013 kernel-2.6.18-redhat.patch
-rw-r--r-- 1 root root 0 Sep 6 2013 linux-kernel-test.patch
-rw-r--r-- 1 root root 1.4M Sep 6 2013 xen-2.6.18-redhat.patch
-rw-r--r-- 1 root root 507 Sep 6 2013 xen-config-2.6.18-redhat.patch
[root@localhost SOURCES]# wc -l kernel-2.6.18-redhat.patch
2912382 kernel-2.6.18-redhat.patch
- 25. 25
DirtyCow 対応 (RHEL5/CentOS5 系 )
struct page *follow_page(struct
vm_area_struct *vma, unsigned
long address, unsigned int flags)
{
--snip--
if ((flags & FOLL_WRITE) &&
!pte_write(pte))
goto unlock;
page = vm_normal_page(vma,
address, pte);
if (unlikely(!page))
goto unlock;
struct page *follow_page(struct
vm_area_struct *vma, unsigned
long address, unsigned int flags)
{
--snip--
page = vm_normal_page(vma,
address, pte);
if ((flags & FOLL_WRITE) &&
!can_follow_write_pte(pte, page, flags)) {
pte_unmap_unlock(ptep, ptl);
return NULL;
}
元の Kernel ソース 新規に can_follow_write_pte()
を定義してチェック
Kernel ソースコードを読める人じゃないと
パッチは書けないよね。。。。
- 30. 30
RHEL 系と本家ではメジャーバージョンが違うぞ
ではどうしたか ?
+++ bind-9.9.9-P5/lib/dns/message.c
return (ISC_FALSE);
}
+/*
+ * Check to confirm that all DNSSEC records
+ * (DS, NSEC, NSEC3) have covering RRSIGs.
+ */
+static isc_boolean_t
+auth_signed(dns_namelist_t *section) {
+ dns_name_t *name;
--snip--
+ !auth_signed(section))
+ DO_FORMERR;
+
本家 (ISC)
messages.c に auth_signed()
を追加
+++ bind-9.3.6-P1/lib/dns/resolver.c.
CVE-2016-9147
--snip--
+ * LOSS OF USE, DATA OR PROFITS,
+ * WHETHER IN AN ACTION OF
+ * CONTRACT, NEGLIGENCE
+ * PERFORMANCE OF THIS SOFTWARE.
+ */
+
+/* $Id: resolver.c,v 1.218.2.18.4.85
+ 2008/10/17 22:03:37 jinmei Exp $ */
+
+#include <config.h>
+
+#include <isc/print.h>
+#include <isc/string.h>
RHEL は
下位互換性を保ちながらなので
修正多すぎ。
分かりやすいように
個別ファイルにまとめた模様
- 34. 34
まとめ
1. RHEL の ELS 終了は CentOS にとっても無関係ではない(命取り)
2. RHEL4/5 互換の CentOS を使い続けると
・自前で脆弱性情報とか出るたびに調べて
・自前でソース見て比較してパッチ書いて
・それを当てる QA をやって管理して
・しかもそれを下手すると週2−3回個別に進める
そんなことって可能ですか?
バージョン上げましょうよ (RHEL/CentOS 7 系に )
→ (工数ベースで上司に出して提案しましょう)!!
