Wie behebe ich die Shellshock-Sicherheitslücke in Debian Testing / Jessie?

Der Testbefehl

x='() { :;}; echo vulnerable' bash

zeigt, dass meine Debian 8 (Jessie) -Installation auch mit den neuesten Updates anfällig ist. Untersuchungen haben ergeben, dass es einen Patch für Stable und Unstable gibt, die Tests jedoch nicht gepatcht sind.

Ich gehe davon aus, dass der Patch in ein paar Tagen zum Testen kommen wird, aber das sieht fies genug aus, um paranoid zu sein. Kann ich das Paket von Unstable herunterladen und installieren, ohne mein System zu beschädigen? Ein Upgrade auf Unstable scheint mehr Probleme zu verursachen, als es löst.

Laut Bob gibt es eine zweite Shellshock-Schwachstelle, die in einem zweiten Patch behoben ist. Der Test dafür soll sein:

 env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("

Aber ich bin nicht geschickt genug in Bash, um herauszufinden, was dies bedeutet oder warum es ein Problem ist. Auf jeden Fall macht es etwas Seltsames, was durch bash_4.3-9.2_amd64.deb auf 64-Bit-Systemen verhindert wird, die zum Zeitpunkt der Bearbeitung stabil und instabil sind, aber nicht in Jessie / testing.

Um dies für Jessie zu beheben , holen Sie sich das neueste Bash von Unstable und installieren Sie es mit dpkg -i.

Jemenake bietet

wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb

als Befehl, der die Version 4.3-9.2 für Ihre Maschine erhält.

Und Sie können das mit folgen:

sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb

um es zu installieren.

Sollten Sie weitere Patches von Unstable für Ihr Jessie- System benötigen , ist dies eindeutig der richtige Weg ( mutatis mutandis ).

Laden Sie das Paket von Unstable über diesen Link herunter . Sie können dort auch die Abhängigkeiten überprüfen, obwohl es so aussieht, als ob die instabile Bash die gleichen Abhängigkeiten aufweist wie die Bash aus dem Test. Installieren Sie das heruntergeladene Deb mit folgendem Befehl.

dpkg -i

Ich habe diese Antwort für die zusätzlichen Bash-Fixes bearbeitet, die am Montag veröffentlicht wurden.

Für Ubuntu 12.04 führte ich ein Update durch, musste aber auch die Installation für Bash ausführen, um die Sicherheitsanfälligkeit zu beseitigen.

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Dieser Befehl zeigt an, dass das System anfällig ist. Führen Sie das Update aus.

apt-get update && apt-get -y upgrade

Nochmal testen.

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Immer noch verwundbar.

apt-get install -y bash

Nochmal testen.

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Bearbeiten: Nachdem die zusätzlichen Patches veröffentlicht wurden, hat sich die Ausgabe geändert.

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

Yay! Fest. Dies sollte für andere Versionen funktionieren, ich habe es jedoch erst nach 12.04 getestet.

Auch die Antwort von runamok unten funktioniert gut, also gib ihm eine Gegenstimme!

Eine Alternative für Debian 6.0 (Squeeze), ohne Pakete von Debian 7 (Wheezy) abzurufen:

Verwenden Sie das LTS-Sicherheitsrepository, für das der Patch zurückportiert wurde.

Fügen Sie dies hinzu zu /etc/apt/sources.list:

#LTS security
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Dann lauf apt-get update && apt-get install bash.

Via: linuxquestions

apt-get updatevorher apt-get dist-upgradeund du bekommst den patch. Habe es einfach selbst gemacht und es wurde ein Bash-Upgrade durchgeführt, das das Problem behebt.

Ich habe es auf meinem Hackintosh behoben durch:

$ brew install bash

$ x='() { :;}; echo vulnerable' bash
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
bash-4.3$ 

Ich habe einen Artikel darüber geschrieben, wie man dies mit apt-get auf alten Ubuntu-Versionen macht. Grundsätzlich aktualisieren Sie Ihre sources.list auf den neuesten Stand und führen dann apt-get update und upgrade bash aus. Sie können es Schritt für Schritt lesen oder von hier aus kopieren .

Zusammenfassung:

sudo sed -i 's/YOUR_OS_CODENAME/trusty/g' /etc/apt/sources.list
sudo apt-get update
sudo apt-get install --only-upgrade bash

Lesen Sie den Artikel, wenn Sie old-releases.ubuntu.com verwenden und vergessen Sie nicht, dass Sie ihn möglicherweise wieder ändern möchten:

sudo sed -i 's/trusty/YOUR_OS_CODENAME/g' /etc/apt/sources.list

Die feste Version (siehe Changelog ) für das Bash-Paket ist ab sofort in Debian 8 (Jessie) (siehe Paketinfo ), Stand 2014-09-26 14:18 UTC.

Das zweite Update, das in den Kommentaren unten erwähnt wird, befindet sich jetzt auch im Jessie- Repository. Es ist nicht erforderlich, von Unstable aus zu installieren. Siehe den obigen Link mit den Paketinformationen.

Es ist nicht mehr nötig, von Unstable aus zu installieren.

Renn einfach:

# aptitude update

gefolgt von:

# aptitude upgrade

Stellen Sie dann sicher, dass die Sicherheitsanfälligkeit behoben ist (in einer neu geöffneten Shell):

$ x='() { :;}; echo vulnerable' bash
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'