Il comando di prova
x='() { :;}; echo vulnerable' bash
mostra che la mia installazione di Debian 8 (Jessie) è vulnerabile, anche con gli ultimi aggiornamenti. La ricerca mostra che esiste una patch per stabile e instabile, ma che i test sono senza patch.
Immagino che la patch arriverà ai test tra un paio di giorni, ma in realtà sembra abbastanza brutta da essere paranoica. C'è un modo per ottenere il pacchetto da unstable e installarlo senza rompere il mio sistema? L'aggiornamento a unstable sembra che causerà più problemi di quanti ne risolva.
Secondo Bob, esiste una seconda vulnerabilità di Shellshock, che è stata risolta in una seconda patch. Il test dovrebbe essere:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
Ma non sono abbastanza abile in Bash per capire cosa significhi o perché sia un problema. Ad ogni modo, fa qualcosa di strano, che è impedito da bash_4.3-9.2_amd64.deb su sistemi a 64 bit, che al momento della modifica è stabile e instabile ma non in Jessie / testing.
Per risolvere questo problema per Jessie , procurati l'ultimo Bash da unstable e installalo con dpkg -i
.
Offre Jemenake
wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb
come comando che otterrà la versione 4.3-9.2 per il tuo computer.
E puoi seguirlo con:
sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb
per installarlo.
Se hai bisogno di ulteriori patch instabili per il tuo sistema Jessie , questa è chiaramente la strada da percorrere ( mutatis mutandis ).