sudo漏洞解决方案--源码转rpm包(spec文件编写)
RPM 知识储备
将源码包打包成rpm包,一般有两种情况
- 在找包中,能够在网上找到 “.src.rpm” 结尾的包,并且是根据漏洞需要升级的版本的包
- 在找包中,没有找到 “.src.rpm” 结尾的包 ,软件包官网只提供源码包和二进制包,需要自己来写spec文件来打成rpm包
!!本章只对第二种做举例与分析!!
若要构建一个标准的 RPM 包,需要创建 .spec 文件,其中包含软件打包的全部信息。然后,对此文件执行 rpmbuild 命令,经过这一步,系统会按照步骤生成最终的 RPM 包。
一般情况,应该把源代码包,比如由开发者发布的以 .tar.gz 结尾的文件,放入 ~/rpmbuild/SOURCES 目录。将.spec 文件放入 ~/rpmbuild/SPECS 目录,并命名为 "软件包名.spec" 。
了解以上流程后,看如下案例:
实际例子:公司通过第三方软件进行系统漏扫,有些漏洞需要解决并修复
分 析:一般会对比RedHat的CVE来判断如何解决漏洞,大多数情况下是升级该漏洞,也就是升级软件包就可以解决。
那么我们明确了解决方向,就要考虑步骤如何解决
- 第一步:先对比CVE,找到旧版本的包,要升级到哪一个版本范围,确认要升级的包版本
- 第二步:确认好包的版本后,通过CVE给出的下载地址提示,去下载这个版本的包
- 第三步:下载好源码包后(二进制的包不考虑),利用rpmbuild来做成rpm包
第一步:CVE分析并找包
CVE:https://access.redhat.com/security/security-updates/#/
找到对应的版本包(比如找CVE-2017-7826这个漏洞包)


第二步:打开官网,找到这个包(这个过程需要自己来进行找包,一般会先看包的官网,再看各大开源网站有没有) 这里开始解决sudo问题
(1) 这里我是找的sudo这个包,原来系统里的这个包版本是:sudo-1.8.23-3.axs7.x86_64

(2)经过漏洞扫描,发现sudo-1.8这个包有危险漏洞,需要升级到1.9.5p2以上才可以解决
我们先找sudo官网:https://www.sudo.ws/
官网提供源码包升级安装方案,如果有大批的服务器都需要做升级sudo,岂不是很麻烦,我们将源码包做成rpm,方便快捷

通过官网我们可以看到:它最新的更新版本是1.9.5p2 ,并且能够解决了CVE扫出的漏洞问题,那我们就下这个包(官网只提供源码包和二进制包,下源码包)
第三步:下载好后源码包,传到需要升级的系统里去

确认有工具
##yum install rpmdevtools
传上后,输入一次 #rpmdev-setuptree
我们再ls来看当前目录下,会发现多了一个 rpmbuild 目录

我们再将sudo-1.9.5p2.tar.gz 复制到 /root/rpmbuild/SOURCES

然后进入如下,并手动编写一个sudo.spec文件

sudo.spec文件内容(这里过于简单,以下会有解释与分析):

保存退出后,执行
# rpmbuild -ba /root/rpmbuild/SPECS/sudo.spec
等待编译中.........
完后,rpm包会在 /root/rpmbuild/RPMS 中
升级: rpm -Uvh ***.rpm 这个包就行
rpmbuild目录:

分析spec文件


sudo漏洞解决方案--源码转rpm包(spec文件编写)的更多相关文章
- 查看rpm包spec文件
$ rpm --scripts -qp kernel-2.6.32-431.el6.x86_64.rpm
- 转】MyEclipse使用总结——使用MyEclipse打包带源码的jar包
原博文出自于: http://www.cnblogs.com/xdp-gacl/p/4136303.html 感谢! 平时开发中,我们喜欢将一些类打包成jar包,然后在别的项目中继续使用,不过由于看不 ...
- MyEclipse使用总结——使用MyEclipse打包带源码的jar包
平时开发中,我们喜欢将一些类打包成jar包,然后在别的项目中继续使用,不过由于看不到jar包里面的类的源码了,所以也就无法调试,要想调试,那么就只能通过关联源代码的形式,这样或多或少也有一些不方便,今 ...
- eclipse导出附带源码的jar包
最近在搞Andengine游戏开发,发现andengine的jar包可以直接点击查看源码,而其他项目的jar包却看不了,因此自己研究了下如何生成可以直接查看源码的jar包. 1.eclipse中点击项 ...
- MyEclipse打包带源码的jar包
平时开发中,我们喜欢将一些类打包成jar包,然后在别的项目中继续使用,不过由于看不到jar包里面的类的源码了,所以也就无法调试,要想调试,那么就只能通过关联源代码的形式,这样或多或少也有一些不方便,今 ...
- Eclipse使用总结——使用Eclipse打包带源码的jar包
平时开发中,我们喜欢将一些类打包成jar包,然后在别的项目中继续使用,不过由于看不到jar包里面的类的源码了,所以也就无法调试,要想调试,那么就只能通过关联源代码的形式,这样或多或少也有一些不方便,今 ...
- Centos 6.5升级gcc : 源码安装 + rpm安装
1. 前言 采用Centos 6.5默认的gcc版本为4.4.7,不支持c++ 11,需要升级: 首先想到用yum命令:执行yum update gcc-c++或yum update g++ 显示没有 ...
- angular源码分析:injector.js文件分析——angular中的依赖注入式如何实现的(续)
昨天晚上写完angular源码分析:angular中jqLite的实现--你可以丢掉jQuery了,给今天定了一个题angular源码分析:injector.js文件,以及angular的加载流程,但 ...
- linux rpm之已安装包校验、rpm包中文件提取
已安装包校验 rpm -V 已安装的包名-V 校验指定rpm包中的文件 rpm -V pth没有任何提示,说明自安装后没有做过任何修改 rpm包中文件提取 比如对一个系统配置文件误操作,可以根据这个文 ...
- Python3.4 获取百度网页源码并保存在本地文件中
最近学习python 版本 3.4 抓取网页源码并且保存在本地文件中 import urllib.request url='http://www.baidu.com' #上面的url一定要写明确,如果 ...
随机推荐
- 无人机集群的分布式协作 VI-SLAM
以下内容来自从零开始机器人SLAM知识星球 每日更新内容 点击领取学习资料 → 机器人SLAM学习资料大礼包 论文# D2SLAM: Decentralized and Distributed Col ...
- C++进阶(map+set容器模拟实现)
关联式容器 关联式容器也是用来存储数据的,与序列式容器(如vector.list等)不同的是,其里面存储的是<key,value>结构的键值对,在数据检索时比序列式容器效率更高.今天要介绍 ...
- [生命科学] snapgene 构建载体方法分享
snapgene 构建载体方法分享 文章目录 snapgene 构建载体方法分享 1. Snapgene 构建载体-酶切位点法 2. 载体构建--同源重组法 3. 总结 1. Snapgene 构建载 ...
- [WPF]限制程序单例运行
代码 System.Threading.Mutex mutex; protected override void OnStartup(StartupEventArgs e) { bool ret; m ...
- Ubuntu 安装 dlib 库时的疑难杂症
解决方法 安装 C/C++环境 sudo apt install gcc sudo apt install g++ 激活 conda 环境 source activate OpenCV pip ins ...
- 如何让Java编译器帮你写代码
作者:京东零售 刘世杰 导读 本文结合京东监控埋点场景,对解决样板代码的技术选型方案进行分析,给出最终解决方案后,结合理论和实践进一步展开.通过关注文中的技术分析过程和技术场景,读者可收获一种样板代码 ...
- Java 进阶P-4.2+P-4.3
继承 什么是继承:通俗易懂就好像是你继承你了爸的财产,其中你是子类,你爸是父类继承在Java中被称为面向对象的三大的特征,其中他表示的是,从已有的类中派生出新的类,新的类拥有了父类中属性和方法(pri ...
- inline的作用
1:inline可以跳过调用,直接引用,类似与直接将函数中的代码拿到当前函数中一样 2:在.h中函数重复的时候可以用inline来解决冲突问题
- 定时调度插件------FluentScheduler
定时调度插件------FluentScheduler 源码地址 官网文档地址 使用说明 dll引用 文章使用的版本为5.5.1版本 使用GuGet搜索FluentScheduler即可找到 如果框架 ...
- [USACO17JAN]Cow Dance Show S更新ing
这道题目是二分舞台大小,为什么能用二分呢?因为如果mid成立 则mid~r都成立,如果mid不成立l~mid就都不成立,也就是严格单调,所以可以使用二分快速找到k. check函数的思路: 实现:在舞 ...