Depois de longas discussões com o RedHat, finalmente consegui os arquivos certos:
Lembre-se de que o download desses pacotes requer o ELS.
Obrigado a todos!
Devido à recente vulnerabilidade do GHOST, eu estava tentando atualizar a versão da glibc em nosso RHEL4.
O comando que tentei usar foi:
rpm -Uvh glibc-2.3.4-2.57.x86_64.rpm
O resultado foi:
[root@rhel4-test ~]# rpm -Uvh glibc-2.3.4-2.57.i686.rpm
warning: glibc-2.3.4-2.57.i686.rpm: V3 DSA signature: NOKEY, key ID db42a60e
Preparing... ########################################### [100%]
package glibc-2.3.4-2.57 is already installed
O changelog no site de suporte do RedHat parece bastante antigo, embora a versão corresponda.
Alguém conseguiu atualizar a vulnerabilidade do RHEL4 contra o GHOST (CVE-2015-0235)?
O RHEL 4 está no que a Red Hat chama de Fase de Vida Prolongada .
...For versions of products in the Extended Life Phase, Red Hat will provide limited ongoing technical support. No security fixes, bug fixes, hardware enablement or root-cause analysis will be available during this phase, and support will be provided on existing installations only.
Você pode adquirir um complemento de assinatura do Extended Life Cycle Support (ELS) para suporte estendido.
Available during the Extended Life Phase of the product life cycle for Red Hat Enterprise Linux 4 and 5,the Extended Life Cycle Support Add-On delivers critical-impact security fixes and selected urgent-priority bug fixes that are available and qualified for the latest versions of a published subset of packages in a specific major release of Red Hat Enterprise Linux after the end of the Production 3 Phase.
Se você tem uma assinatura do ELS, há uma atualização disponível como RHSA-2015: 0101-1 .
Seu sistema RHEL 4 precisa se inscrever nos canais corretos no portal da RHN ou com o seu servidor Satellite e então você executa up2date -u glibc .
Sasha está quase certo e, como não posso comentar, postarei isso como uma resposta independente.
Ignorar erros de dependência é uma ideia muito ruim. Também é desnecessário neste caso, já que há uma versão atualizada do nscd para acompanhar a glibc.
Os pacotes glibc corrigidos estão realmente disponíveis na Oracle, e eu confirmei que a instalação deles corrige a vulnerabilidade do GHOST. Sugiro que você faça o download de todos os pacotes relacionados ao glibc corrigido e, em seguida, atualize apenas os que já estão instalados no seu sistema com o RPM atualizado.
para 32 bits:
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-2.3.4-2.57.0.1.el4.1.i386.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-2.3.4-2.57.0.1.el4.1.i686.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-common-2.3.4-2.57.0.1.el4.1.i386.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-devel-2.3.4-2.57.0.1.el4.1.i386.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-headers-2.3.4-2.57.0.1.el4.1.i386.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-profile-2.3.4-2.57.0.1.el4.1.i386.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-utils-2.3.4-2.57.0.1.el4.1.i386.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/nscd-2.3.4-2.57.0.1.el4.1.i386.rpm
sudo rpm -Fvh *.rpm
para 64 bits:
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-2.3.4-2.57.0.1.el4.1.i686.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-2.3.4-2.57.0.1.el4.1.x86_64.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-common-2.3.4-2.57.0.1.el4.1.x86_64.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-devel-2.3.4-2.57.0.1.el4.1.x86_64.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-headers-2.3.4-2.57.0.1.el4.1.x86_64.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-profile-2.3.4-2.57.0.1.el4.1.x86_64.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-utils-2.3.4-2.57.0.1.el4.1.x86_64.rpm
wget http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/nscd-2.3.4-2.57.0.1.el4.1.x86_64.rpm
sudo rpm -Fvh *.rpm
Depois, reinicie todos os serviços em execução que usem o glibc. Você pode obter uma lista desses executando lsof | grep libc | awk '{print $1}' | sort | uniq . Dependendo da sua situação, provavelmente é mais fácil simplesmente reiniciar o servidor inteiro.
Se você não tiver uma assinatura do RHEL, a Oracle teve a gentileza de liberar pacotes atualizados para a sua antiga caixa RH4.
Para ambos os sistemas (i386 e X86_64):
mkdir glibc2015
cd glibc2015
Para o sistema i386 (Note, eu tive que substituir http com h ** p para evitar filtros de spam aqui.):
wget h**p://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-2.3.4-2.57.0.1.el4.1.i686.rpm
wget h**p://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-common-2.3.4-2.57.0.1.el4.1.i386.rpm
wget h**p://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-devel-2.3.4-2.57.0.1.el4.1.i386.rpm
wget h**p://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/glibc-headers-2.3.4-2.57.0.1.el4.1.i386.rpm
Para o sistema X86_64 faça:
wget h**p://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-2.3.4-2.57.0.1.el4.1.i686.rpm
wget h**p://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-2.3.4-2.57.0.1.el4.1.x86_64.rpm
wget h**p://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-common-2.3.4-2.57.0.1.el4.1.x86_64.rpm
wget h**p://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-common-2.3.4-2.57.x86_64.rpm
wget h**p://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-devel-2.3.4-2.57.0.1.el4.1.x86_64.rpm
wget h**p://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/x86_64/getPackage/glibc-headers-2.3.4-2.57.0.1.el4.1.x86_64.rpm
Para todos os sistemas:
rpm -Uvh glibc*rpm
Se você obtiver um erro sobre o nscd dependendo do glibc, não há problema em fazê-lo:
rpm -Uvh glibc*rpm --nodeps
Lembre-se de reiniciar todos os serviços com reconhecimento de rede após a atualização. Se você não tiver certeza de quais serviços, pode não ferir apenas reiniciar o servidor.
Existe um patch, o RPM deve ser glibc-2.3.4-2.57.el4.2.i686.rpm .
Consulte: link
Eu descobri que no passado havia opções viáveis para construir pacotes RHEL4 usando a fonte encontrada nas versões do Oracle Linux. link Caso você não consiga fazer o RHN funcionar. Você pode ter que esperar um pouco (alguns dias) para que um novo src.rpm apareça.
Eu espelhei os RPMs no link para o el4.
Nota: estou apenas espelhando-os para alguém no Brasil. A fonte completa e o arquivo de especificação estão disponíveis se você não confiar neles.
Testado até agora no Centos 4.6 e 4.9
Reinicializou de forma limpa e foi relatado como não vulnerável.
A maioria dos servidores que eu encontrei não está executando o nscd.
ps ax | grep nscd
Ou chkconfig --list nscd
Se ambos mostrarem que ele não está rodando, é seguro fazer um yum remover o nscd (e nss_ldap) e então o rpm -Uv glibc - *
Sou apenas um espelho, não criei os RPMs.
Edit: Acabei de ver e o Oracle Linux atualizou seu repositório hoje. Melhor usar os deles em seu lugar. Veja o post acima sobre onde obtê-lo.
Atenciosamente,
Rick