GNU Bash Shellshock - 보안취약점

1.            패치 대상

GNU Bash 버전 4.3 이하를 사용하고 있는 엑사데이타 서버(DB 서버 및 셀 서버)

2.            영향도

온라인 중에  패치 적용 가능 / 오라클 서비스 및 OS 재 가동 불 필요

3.            진단방법

3.1.       버전 확인

버젼이 bash-3.2-33.el5_11.4 아니면 패치 대상

※ 공항철도 Exadata와 Demo 장비모두 동일한 bash 버전을 사용 중 이므로 패치가 필요함.

* demo 장비 [root@lnsitdb01 ~]# rpm -q bash bash-3.2-32.el5_9.1 * 공항철도 Exadata bash-3.2-32.el5_9.1

3.2.       OS 버전

[DB Server version] 1. Demo 장비 Kernel version: 2.6.39-400.126.1.el5uek #1 SMP Fri Sep 20 10:54:38 PDT 2013 x86_64 Image version: 11.2.3.3.0.131014.1 2. 공항철도 Exadata Kernel version: 2.6.39-400.126.1.el5uek #1 SMP Fri Sep 20 10:54:38 PDT 2013 x86_64 Image version: 11.2.3.3.0.131014.1 [Cell Server version] 1. Demo 장비 Kernel version: 2.6.39-400.128.17.el5uek #1 SMP Tue May 27 13:20:24 PDT 2014 x86_64 Cell version: OSS_11.2.3.3.1_LINUX.X64_140708 Cell rpm version: cell-11.2.3.3.1_LINUX.X64_140708-1 Active image version: 11.2.3.3.1.140708 Active image activated: 2014-08-22 13:14:07 +0900 Active image status: success Active system partition on device: /dev/md5 Active software partition on device: /dev/md7 2. 공항철도 Exadata Kernel version: 2.6.39-400.126.1.el5uek #1 SMP Fri Sep 20 10:54:38 PDT 2013 x86_64 Cell version: OSS_11.2.3.3.0_LINUX.X64_131014.1 Cell rpm version: cell-11.2.3.3.0_LINUX.X64_131014.1-1 Active image version: 11.2.3.3.0.131014.1 Active image activated: 2014-05-29 11:37:47 +0900 Active image status: success Active system partition on device: /dev/md5 Active software partition on device: /dev/md7

4.            패치 다운로드

http://public-yum.oracle.com/repo/OracleLinux/OL5/latest/x86_64/getPackage/bash-3.2-33.el5_11.4.x86_64.rpm

5.            패치 적용

5.1.       DB 서버

[root@lnsitdb01 RPM]# rpm -Uvh bash-3.2-33.el5_11.4.x86_64.rpm error: Failed dependencies:         config(bash) = 3.2-32.el5_9.1 is needed by (installed) exadata-sun-computenode-exact-11.2.3.3.0.131014.1-1.x86_64         bash = 3.2-32.el5_9.1 is needed by (installed) exadata-sun-computenode-exact-11.2.3.3.0.131014.1-1.x86_64 * 기존 패키지가 존재하여 rpm 설치 시 에러가 발생하므로 exadata-sun-computenode-exact-11.2.3.3.0.131014.1-1.x86_64 패키지를 먼저 제거 함. 1. 패키지 제거 [root@lnsitdb01 RPM]# rpm -e exadata-sun-computenode-exact-11.2.3.3.0.131014.1-1.x86_64 2. rpm 업데이트 [root@lnsitdb01 RPM]# rpm -Uvh bash-3.2-33.el5_11.4.x86_64.rpm Preparing...                ########################################### [100%]    1:bash                   ########################################### [100%] 3. 버전 확인 [root@lnsitdb01 RPM]# rpm -qa bash bash-3.2-33.el5_11.4

5.2.       CELL 서버

1. rpm 업데이트 [root@lnsitceladm01 ~]# rpm -Uvh --nodeps bash-3.2-33.el5_11.4.x86_64.rpm warning: bash-3.2-33.el5_11.4.x86_64.rpm: Header V3 DSA signature: NOKEY, key ID 1e5e0159 Preparing...                ########################################### [100%]    1:bash                   ########################################### [100%] 2. 버전 확인 [root@lnsitceladm01 ~]# rpm -qa bash bash-3.2-33.el5_11.4

6.            패치 결과

현재 DEMO 장비에서 패치 테스트를 해본 결과 DB, Cell Online 상태에서 적용 시 운영에 문제 없이 진행 됨을 확인하였습니다.

패치가 보안에 Critical한 이슈가 되는 내용이니 검토하여 진행이 필요해 보입니다.