debian testing / jessie에서 Shellshock 보안 취약점을 어떻게 해결합니까?

테스트 명령

x='() { :;}; echo vulnerable' bash

내 것을 보여준다 데비안 8 (제시) 설치도 최신 업데이트와 함께, 취약합니다. 연구에 따르면 안정적이고 불안정한 패치가 있지만 테스트는 패치되지 않았습니다.

패치가 며칠 만에 테스트를 할 것이라고 생각하지만 실제로는 편집증에 빠질 정도로 불쾌하게 보입니다. 패키지를 불안정하게 가져 와서 시스템을 손상시키지 않고 설치할 수있는 방법이 있습니까? 불안정한 것으로 업그레이드하면 해결하는 것보다 더 많은 문제가 발생합니다.

Bob에 따르면 두 번째 패치로 수정 된 두 번째 Shellshock 취약점이 있습니다. 테스트는 다음과 같습니다.

 env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("

그러나 나는 이것이 Bash가 이것이 의미하는 바 또는 왜 문제인지를 해결할만큼 숙련되지 않았습니다. 어쨌든 64 비트 시스템에서 bash_4.3-9.2_amd64.deb에 의해 방지되는 이상한 일을합니다. 편집시에는 안정적이고 불안정하지만 Jessie / testing 에는 없습니다 .

Jessie를 위해이 문제를 해결하려면 불안정한 최신 Bash를 가져 와서 설치하십시오 dpkg -i.

예 메나 케 제공

wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb

머신의 4.3-9.2 버전을 얻는 명령으로.

그리고 당신은 그것을 따라갈 수 있습니다 :

sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb

그것을 설치하십시오.

Jessie 시스템에 불안정한 패치를 추가로 필요로한다면 , 이것이 분명한 방법입니다 ( mutatis mutandis ).

이 링크 를 통해 불안정한 패키지를 다운로드하십시오 . 불안정한 bash가 테스트의 bash와 동일한 종속성을 갖는 것처럼 보이지만 종속성을 확인할 수도 있습니다. 다운로드 한 deb를 다음과 같이 설치하십시오.

dpkg -i

월요일에 릴리스 된 추가 bash 수정 사항에 대해이 답변을 편집했습니다.

Ubuntu 12.04의 경우 업데이트를 실행했지만 취약점을 제거하려면 bash 용 설치를 실행해야했습니다.

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

이 명령은 시스템이 취약하다는 것을 나타내므로 업데이트를 실행하십시오.

apt-get update && apt-get -y upgrade

다시 테스트하십시오.

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

여전히 취약합니다.

apt-get install -y bash

다시 테스트하십시오.

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

편집 : 추가 패치가 릴리스 된 후 출력이 변경되었습니다.

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

예이! 결정된. 이것은 다른 버전에서도 작동하지만 12.04 이후로는 테스트하지 않았습니다.

또한 아래의 runamok의 답변이 잘 작동하므로 투표를하십시오!

Debian 7 (Wheezy)에서 패키지를 가져 오지 않고 Debian 6.0 (Squeeze)에 대한 대안 :

패치가 백 포트 된 LTS 보안 저장소를 사용하십시오.

이것을 다음에 추가하십시오 /etc/apt/sources.list:

#LTS security
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

그런 다음를 실행하십시오 apt-get update && apt-get install bash.

경유 : linuxquestions

apt-get update전에 apt-get dist-upgrade패치를 얻을 수 있습니다. 방금 직접 해 보았고 문제를 해결하는 bash 업그레이드가 진행되었습니다.

내 Hackintosh 에서 다음과 같이 수정했습니다 .

$ brew install bash

$ x='() { :;}; echo vulnerable' bash
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
bash-4.3$ 

구 우분투 버전에서 apt-get 으로이 작업을 수행하는 방법에 대한 기사를 작성했습니다. 기본적으로 sources.list를 최신으로 업데이트 한 다음 apt-get update 및 upgrade bash를 실행하십시오. 단계별로 읽거나 여기 에서 복사하여 붙여 넣을 수 있습니다 .

개요:

sudo sed -i 's/YOUR_OS_CODENAME/trusty/g' /etc/apt/sources.list
sudo apt-get update
sudo apt-get install --only-upgrade bash

old-releases.ubuntu.com을 사용하는 경우 기사를 읽고 다시 변경하고 싶을 수 있습니다.

sudo sed -i 's/trusty/YOUR_OS_CODENAME/g' /etc/apt/sources.list

Bash 패키지 의 수정 된 버전 ( changelog 참조 )은 2014-09-26 14:18 UTC 기준으로 현재 Debian 8 (Jessie)에 있습니다 ( 패키지 정보 참조 ).

아래 주석에서 언급 된 두 번째 수정 사항은 이제 Jessie 저장소에도 있습니다. 불안정한 상태에서 설치할 필요가 없습니다. 위의 패키지 정보 링크를 참조하십시오.

더 이상 불안정한 상태에서 설치할 필요가 없습니다.

그냥 실행 :

# aptitude update

뒤에 :

# aptitude upgrade

그런 다음 새로 열린 셸에서 취약점이 사라 졌는지 확인하십시오.

$ x='() { :;}; echo vulnerable' bash
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'