Polecenie testowe
x='() { :;}; echo vulnerable' bash
pokazuje, że moja instalacja Debian 8 (Jessie) jest podatna na atak, nawet przy najnowszych aktualizacjach. Badania pokazują, że istnieje łatka na stabilne i niestabilne, ale testowanie jest niedopasowane.
Wydaje mi się, że łatka przejdzie do testowania za kilka dni, ale w rzeczywistości wygląda to wystarczająco paskudnie, żeby być paranoikiem. Czy jest jakiś sposób, aby uzyskać pakiet z niestabilności i zainstalować go bez uszkodzenia systemu? Aktualizacja do niestabilnej wygląda na to, że spowoduje więcej problemów niż rozwiązuje.
Według Boba istnieje druga luka w Shellshock, która została naprawiona w drugiej łatce. Testem powinno być:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
Ale nie mam wystarczających umiejętności w Bash, aby zrozumieć, co to oznacza lub dlaczego jest to problem. W każdym razie robi coś dziwnego, czemu zapobiega bash_4.3-9.2_amd64.deb w systemach 64-bitowych, które w czasie edycji są stabilne i niestabilne, ale nie w Jessie / testowaniu.
Aby to naprawić dla Jessie , pobierz najnowszą wersję Bash ze strony niestabilnej i zainstaluj ją dpkg -i
.
Oferty Jemenake
wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb
jako polecenie, które otrzyma wersję 4.3-9.2 dla twojego komputera.
I możesz to śledzić za pomocą:
sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb
zainstalować.
Jeśli potrzebujesz dodatkowych łatek z niestabilnej dla swojego systemu Jessie , jest to zdecydowanie właściwa droga ( mutatis mutandis ).