Estou tentando atualizar um sistema do CentOS 5 para corrigir a vulnerabilidade descrita em CVE- 2014-6271 / RHSA-2014: 1293-1 , mas estou concorrendo um problema.
Depois de aparentemente atualizar o bash via yum update bash e reiniciar o servidor, yum list bash lista a versão instalada como corrigida (3.2.33.e15.1), mas /bin/bash --version está exibindo 3.2.25 (1) -release .
Por todas as contas (via rpm -ql bash ), a localização binária está correta e find / -name bash apenas retorna essa localização.
Alguma idéia de por que a discrepância de versão pode estar ocorrendo?
Acontece que, apesar da discrepância de versão, a atualização foi bem-sucedida. A execução da entrada de amostra é bem-sucedida onde não foi antes:
user [~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'
this is a test
Na Red Hat eles geralmente corrigem versões mais antigas em vez de atualizar diretamente para as mais novas, de modo a não quebrar nenhum sistema. Como esse é apenas um patch de vulnerabilidade, ele garante que o pacote binário e todo o pacote permaneçam compatíveis com versões anteriores.
Você pode usar rpm para inspecionar o changelog do pacote. Dessa forma, você sempre pode verificar se está usando a versão mais recente do backport.
# rpm -q --changelog <the rpm package that just got installed>