Kann Bash unter Debian 6.0 (Squeeze) nicht aktualisieren

9

Ich kann Bash auf einem Debian 6.0 (Squeeze) -Server nicht aktualisieren , um die entdeckte Sicherheitsanfälligkeit zu beseitigen:

bash --version
GNU bash, version 4.1.5(1)-release (x86_64-pc-linux-gnu)

apt-get update
apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 7 not upgraded.

Kann ich Squeeze-LTS für diesen Server verwenden, um Bash zu aktualisieren? Nach einer Woche werde ich auf einem anderen Server sein, daher werde ich keine weiteren Updates vornehmen.

uname -m
x86_64

lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 6.0.5 (squeeze)
Release:        6.0.5
Codename:       squeeze
linux  debian  bash 
tfegc
quelle

Antworten:

23

Sie müssen das squeeze-ltsRepository verwenden, um weiterhin Updates für Debian Squeeze zu erhalten

Um dieses Repository hinzuzufügen, bearbeiten /etc/apt/sources.listSie die Zeile und fügen Sie sie hinzu

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

(Sie können entfernen non-freeund contribwenn gewünscht)

Beachten Sie, dass ab diesem Zeitpunkt squeeze-ltsnur die aktualisierte Bash für den ursprünglichen CVE-2014-6271 vorhanden ist, diese jedoch noch nicht aktualisiert wurde, um den neuen CVE-2014-7169 zu beheben .

So aktualisieren nur bash, nach dem Ausführen apt-get updateVerwendung apt-get install bashnur bash zu installieren, statt einer vollständigen Upgrade.

DerfK
quelle
1
Wenn ich das tue, bleibt meine Bash bei der Veröffentlichung von 4.1.5 (1) hängen und bleibt verwundbar ...
Bastien Libersa
3

Ich musste LTS-Repositorys hinzufügen, um bash zu aktualisieren, wodurch die Shellshock-Sicherheitsanfälligkeit in Debian Squeeze behoben wird. Ich hoffe, jemand anderes findet das nützlich:

Überprüfen Sie zunächst, ob Ihre Box anfällig ist. Schneiden Sie dies aus und fügen Sie es in Ihre Befehlszeile ein:

env x='() { :;}; echo "WARNING: SHELLSHOCK DETECTED"' \
bash --norc -c ':' 2>/dev/null;

Wenn Sie eine Antwort erhalten wie:

WARNING: SHELLSHOCK DETECTED

Wie bei Squeeze haben Sie die Sicherheitslücke. Sie müssen Ihre Repositorys auf die LTS-Version aktualisieren, um die Aktualisierungen zu erhalten, indem Sie Ihre aktuellen Repository-Zeilen beginnend mit 'deb' in Ihrer Datei /etc/apt/sources.list auskommentieren und diese dann hinzufügen:

deb http://http.debian.net/debian/ squeeze main contrib non-free
deb-src http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian squeeze-lts main contrib non-free

Jetzt sollten Sie Ihren lokalen Cache aktualisieren und die aktualisierte Bash installieren (ihre Server sind jetzt langsam, da alle aktualisiert werden. Ziehen Sie also einfach die Bash herunter, um die Bandbreite zu verbessern):

apt-get update && apt-get install --only-upgrade bash

Sie können später ein vollständiges System-Upgrade durchführen. Führen Sie nun das obige Skript zur Überprüfung der Sicherheitsanfälligkeit aus und Sie sollten keine Textausgabe erhalten, was bedeutet, dass Sie gepatcht sind :)

Fledermausklappen
quelle
1

Ich habe bereits jedes Debian 6.0 (Squeeze) -System, auf das ich Zugriff habe, auf Debian 7 (Wheezy) aktualisiert, was überraschenderweise größtenteils schmerzlos war.

Wenn Sie das nicht können, scheint es Updates in Squeeze-LTS zu geben. Es hat eine Kopie von Bash mit dem gestrigen Datum 4.1.3 + deb6u1.

Michael Hampton
quelle
Ich glaube, das sollte 4.1-3 + deb6u2 sein, könnte aktualisiert worden sein, seit Sie das geschrieben haben.
Samtresler
1

Debian 6.0 (Squeeze) wird nicht mehr unterstützt. Weitere Informationen finden Sie in der Debian-Sicherheitsankündigung .

Wenn Sie Sicherheitsupdates haben möchten, müssen Sie Ihre ändern sources.list. Folgendes müssen Sie eingeben:

cat /etc/apt/sources.list | grep lts

deb http://ftp2.de.debian.org/debian Squeeze-lts Hauptbeitrag nicht kostenlos

deb-src http://ftp2.de.debian.org/debian Squeeze-lts Hauptbeitrag nicht kostenlos

Dies funktioniert nur für x86 und x64.

Sie müssen also Folgendes tun (unter Angabe des Wikis):

Fügen Sie für Binärpakete diese Zeile hinzu:

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free

Fügen Sie für Quellpakete diese Zeile hinzu:

deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Natürlich können Sie entscheiden, welche Pakettypen Sie einschließen möchten.

Weitere Informationen zu der Version, die Sie einmal aktualisiert haben sollten, finden Sie hier:

Debian Security Tracker

Quelle: Debian Wiki

Dennis Nolte
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.