Impossibile aggiornare Bash su Debian 6.0 (Squeeze)

Non riesco ad aggiornare Bash su un server Debian 6.0 (Squeeze) per eliminare la vulnerabilità rilevata:

bash --version
GNU bash, version 4.1.5(1)-release (x86_64-pc-linux-gnu)

apt-get update
apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 7 not upgraded.

Posso usare Squeeze-LTS per questo server solo per aggiornare Bash? Dopo una settimana sarò su un altro server, quindi non farò altri aggiornamenti.

uname -m
x86_64

lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 6.0.5 (squeeze)
Release:        6.0.5
Codename:       squeeze

È necessario utilizzare il squeeze-ltsrepository per continuare a ricevere aggiornamenti su Debian Squeeze

Per aggiungere questo repository, modifica /etc/apt/sources.liste aggiungi la riga

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

(è possibile rimuovere non-freee contribse lo si desidera)

Si noti che a partire da questo istante, squeeze-ltsha solo il bash aggiornato per l'originale CVE-2014-6271 ma non è stato ancora aggiornato per correggere il nuovo CVE-2014-7169 .

Per aggiornare solo bash, dopo l'esecuzione apt-get updateutilizzare apt-get install bashper installare solo bash, anziché un aggiornamento completo.

Ho dovuto aggiungere repository LTS per aggiornare bash che risolve la vulnerabilità di Shellshock su Debian Squeeze. Spero che qualcun altro lo trovi utile:

Innanzitutto, controlla se la tua casella è vulnerabile. Taglia / incolla questo nella tua riga di comando:

env x='() { :;}; echo "WARNING: SHELLSHOCK DETECTED"' \
bash --norc -c ':' 2>/dev/null;

Se ricevi una risposta come:

WARNING: SHELLSHOCK DETECTED

Come ho fatto in Squeeze, hai la vulnerabilità. Dovrai aggiornare i tuoi repository alla versione LTS per ottenere gli aggiornamenti, commentando le righe del tuo repository corrente iniziando con 'deb' nel tuo file /etc/apt/sources.list e quindi aggiungendo questi:

deb http://http.debian.net/debian/ squeeze main contrib non-free
deb-src http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian squeeze-lts main contrib non-free

Ora dovresti aggiornare la tua cache locale e installare la bash aggiornata (i loro server sono lenti ora perché tutti stanno aggiornando, quindi abbassa quella bash per amor di larghezza di banda):

apt-get update && apt-get install --only-upgrade bash

È possibile eseguire un aggiornamento completo del sistema in un secondo momento. Ora esegui lo script di controllo delle vulnerabilità sopra e non dovresti ottenere alcun output di testo, il che significa che sei patchato :)

Ho già aggiornato tutti i sistemi Debian 6.0 (Squeeze) a cui ho accesso, a Debian 7 (Wheezy), che era sorprendentemente per lo più indolore.

Se non riesci a farlo, sembra che ci siano aggiornamenti in Squeeze-LTS; ha una copia di Bash con la data di ieri, 4.1.3 + deb6u1.

Debian 6.0 (Squeeze) non è più supportato. Vedi l' annuncio sulla sicurezza di Debian per i motivi.

Se vuoi avere aggiornamenti di sicurezza devi cambiare il tuo sources.list. Ecco cosa devi inserire:

cat /etc/apt/sources.list | grep lts

deb http://ftp2.de.debian.org/debian squeeze-lts contributo principale non gratuito

deb-src http://ftp2.de.debian.org/debian squeeze-lts main contrib non-free

Funziona solo con x86 e x64.

Quindi devi fare quanto segue (citando il wiki):

Per i pacchetti binari, aggiungi questa riga:

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free

Per i pacchetti di origine, aggiungere questa riga:

deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Ovviamente puoi decidere quali tipi di pacchetto vuoi includere.

Vedi questo per i dettagli sulla versione che dovresti aver aggiornato una volta:

Tracker di sicurezza Debian

Fonte: Debian Wiki