sudo漏洞解决方案--源码转rpm包（spec文件编写）

RPM 知识储备

　　将源码包打包成rpm包，一般有两种情况

• 在找包中，能够在网上找到 “.src.rpm” 结尾的包，并且是根据漏洞需要升级的版本的包
• 在找包中，没有找到 “.src.rpm” 结尾的包 ，软件包官网只提供源码包和二进制包，需要自己来写spec文件来打成rpm包

　　！！本章只对第二种做举例与分析！！

　　若要构建一个标准的 RPM 包，需要创建 .spec 文件，其中包含软件打包的全部信息。然后，对此文件执行 rpmbuild 命令，经过这一步，系统会按照步骤生成最终的 RPM 包。

一般情况，应该把源代码包，比如由开发者发布的以 .tar.gz 结尾的文件，放入 ~/rpmbuild/SOURCES 目录。将.spec 文件放入 ~/rpmbuild/SPECS 目录，并命名为 "软件包名.spec" 。

了解以上流程后，看如下案例：

---

实际例子：公司通过第三方软件进行系统漏扫，有些漏洞需要解决并修复

分       析：一般会对比RedHat的CVE来判断如何解决漏洞，大多数情况下是升级该漏洞，也就是升级软件包就可以解决。

那么我们明确了解决方向，就要考虑步骤如何解决

• 第一步：先对比CVE,找到旧版本的包，要升级到哪一个版本范围，确认要升级的包版本
• 第二步：确认好包的版本后，通过CVE给出的下载地址提示，去下载这个版本的包
• 第三步：下载好源码包后（二进制的包不考虑），利用rpmbuild来做成rpm包

第一步：CVE分析并找包

CVE：https://access.redhat.com/security/security-updates/#/

找到对应的版本包（比如找CVE-2017-7826这个漏洞包）

第二步：打开官网，找到这个包（这个过程需要自己来进行找包，一般会先看包的官网，再看各大开源网站有没有） 这里开始解决sudo问题

（1） 这里我是找的sudo这个包，原来系统里的这个包版本是：sudo-1.8.23-3.axs7.x86_64

（2）经过漏洞扫描，发现sudo-1.8这个包有危险漏洞，需要升级到1.9.5p2以上才可以解决

我们先找sudo官网：https://www.sudo.ws/

官网提供源码包升级安装方案，如果有大批的服务器都需要做升级sudo，岂不是很麻烦，我们将源码包做成rpm，方便快捷

通过官网我们可以看到：它最新的更新版本是1.9.5p2 ，并且能够解决了CVE扫出的漏洞问题，那我们就下这个包（官网只提供源码包和二进制包，下源码包）

第三步：下载好后源码包，传到需要升级的系统里去

确认有工具

##yum install rpmdevtools

传上后，输入一次 　#rpmdev-setuptree

我们再ls来看当前目录下，会发现多了一个 rpmbuild 目录

我们再将sudo-1.9.5p2.tar.gz 复制到 /root/rpmbuild/SOURCES

然后进入如下，并手动编写一个sudo.spec文件

sudo.spec文件内容（这里过于简单，以下会有解释与分析）：

保存退出后，执行

# rpmbuild -ba  /root/rpmbuild/SPECS/sudo.spec

等待编译中.........

完后，rpm包会在 /root/rpmbuild/RPMS 中

升级： rpm -Uvh ***.rpm  这个包就行

---

rpmbuild目录：

分析spec文件