测试命令
x='() { :;}; echo vulnerable' bash
显示我的Debian 8 (Jessie) 安装很容易受到攻击,即使是最新的更新也是如此。研究表明,有一个针对稳定和不稳定的补丁,但该测试未打补丁。
我认为该补丁将在几天内进行测试,但这实际上看起来令人讨厌,令人怀疑。有什么方法可以从不稳定中获取软件包并安装它而不会破坏我的系统?升级到不稳定看起来会导致比它解决的问题更多。
根据 Bob 的说法,还有第二个 Shellshock 漏洞,该漏洞已在第二个补丁中修复。对它的测试应该是:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
但是我对 Bash 不够熟练,无法弄清楚这意味着什么或为什么会出现问题。无论如何,它做了一些奇怪的事情,这在 64 位系统上被 bash_4.3-9.2_amd64.deb 阻止,它在编辑时处于稳定和不稳定状态,但在Jessie /testing 中则不然。
要为Jessie解决此问题,请从不稳定版获取最新的 Bash 并使用dpkg -i.
Jemenake 提供
wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb
作为一个命令,它将为您的机器获取 4.3-9.2 版本。
你可以遵循:
sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb
安装它。
如果您的Jessie系统需要进一步的来自不稳定的补丁,这显然是要走的路(mutatis mutandis)。
我有一个运行 Ubuntu 9.04、Jaunty 的远程管理系统(距离 2 个时区)。出于各种原因,主要是我对尝试从这么远的地方进行发行版升级非常谨慎,我无法将其升级到更新的版本。显然它不再受支持,也没有任何官方补丁。是否有关于如何修补代码并自己重新编译 bash 以消除 shellshock 漏洞的说明?