debian testing / jessieのShellshockセキュリティ脆弱性を修正するにはどうすればよいですか？

テストコマンド

x='() { :;}; echo vulnerable' bash

私のDebian 8（Jessie）のインストールは、最新のアップデートでも脆弱であることを示しています。調査によれば、安定版と不安定版のパッチがありますが、テストはパッチされていません。

パッチは数日でテストに到達するだろうと考えていますが、これは実際には偏執的になるほど厄介に見えます。不安定版からパッケージを取得し、システムを破壊せずにインストールする方法はありますか？不安定版にアップグレードすると、解決するよりも多くの問題が発生するようです。

Bobによると、2番目のShellshockの脆弱性があり、これは2番目のパッチで修正されています。それのテストは次のようになっています：

 env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("

しかし、私はこれが何を意味するのか、なぜそれが問題なのかを理解するのに十分なほどBashに熟練していません。いずれにせよ、それは編集の時に安定であり、かつ不安定ではなく、64ビットシステムでbash_4.3-9.2_amd64.debによって阻止される奇妙な何か、ないジェシー /テストを。

Jessieでこれを修正するには、unstableから最新のBashを入手し、でインストールしてくださいdpkg -i。

Jemenakeが提供する

wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb

お使いのマシンの4.3-9.2バージョンを取得するコマンドとして。

そして、あなたはそれに続くことができます：

sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb

それをインストールします。

Jessieシステム用に不安定版からのパッチをさらに必要とする場合、これが明らかに進むべき方法です（必要な変更を加えたものです）。

このリンクからパッケージを不安定版からダウンロードしてください。依存関係も確認できますが、不安定なbashにはテストのbashと同じ依存関係があるようです。ダウンロードしたdebを以下でインストールします。

dpkg -i

月曜日にリリースされた追加のbash修正のために、この回答を編集しました。

Ubuntu 12.04の場合、アップデートを実行しましたが、bashのインストールも実行して脆弱性を取り除く必要がありました。

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

このコマンドは、システムが脆弱であることを示しているため、更新を実行します。

apt-get update && apt-get -y upgrade

もう一度テストします。

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

まだ脆弱です。

apt-get install -y bash

もう一度テストします。

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

編集：追加のパッチがリリースされた後、出力が変更されました。

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

わーい！一定。これは他のバージョンでも機能するはずですが、12.04以降はテストしていません。

また、以下のrunamokの返事はうまくいくので、彼に賛成票をください！

Debian 7（Wheezy）からパッケージを取得しないDebian 6.0（Squeeze）の代替：

パッチがバックポートされたLTSセキ​​ュリティリポジトリを使用します。

これを追加/etc/apt/sources.list：

#LTS security
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

次にを実行しapt-get update && apt-get install bashます。

経由：linuxquestions

apt-get update前にapt-get dist-upgrade、あなたはパッチを取得します。自分でやっただけで、問題を修正するbashアップグレードがプッシュされました。

Hackintoshで次の方法で修正しました。

$ brew install bash

$ x='() { :;}; echo vulnerable' bash
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
bash-4.3$ 

古いUbuntuバージョンでapt-getを使用してこれを行う方法に関する記事を書きました。基本的に、sources.listを最新に更新してから、apt-get updateを実行し、bashをアップグレードします。ここからステップごとに読むか、コピーして貼り付けることができます。

概要：

sudo sed -i 's/YOUR_OS_CODENAME/trusty/g' /etc/apt/sources.list
sudo apt-get update
sudo apt-get install --only-upgrade bash

old-releases.ubuntu.comを使用している場合、記事を元に戻すことを忘れないでください。

sudo sed -i 's/trusty/YOUR_OS_CODENAME/g' /etc/apt/sources.list

2014-09-26 14:18 UTC 現在、Bashパッケージの修正バージョン（changelogを参照）はDebian 8（Jessie）にあります（パッケージ情報を参照）。

以下のコメントで言及されている2番目の修正は、現在Jessieリポジトリにもあります。不安定版からインストールする必要はありません。上記のパッケージ情報のリンクを参照してください。

不安定版からインストールする必要はもうありません。

ただ走れ：

# aptitude update

に続く：

# aptitude upgrade

次に、脆弱性がなくなったことを確認します（新しく開いたシェルで）：

$ x='() { :;}; echo vulnerable' bash
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'