Lệnh kiểm tra
x='() { :;}; echo vulnerable' bash
cho thấy cài đặt Debian 8 (Jessie) của tôi dễ bị tấn công, ngay cả với các bản cập nhật mới nhất. Nghiên cứu cho thấy rằng có một bản vá cho ổn định và không ổn định, nhưng thử nghiệm đó là chưa từng có.
Tôi nghĩ rằng bản vá sẽ khiến nó được thử nghiệm trong một vài ngày, nhưng điều này thực sự có vẻ khó chịu đến mức hoang tưởng. Có cách nào để có được gói từ không ổn định và cài đặt nó mà không phá vỡ hệ thống của tôi? Nâng cấp lên trông không ổn định sẽ gây ra nhiều vấn đề hơn nó giải quyết.
Theo Bob, có một lỗ hổng Shellshock thứ hai, được sửa trong bản vá thứ hai. Các thử nghiệm cho nó được cho là:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
Nhưng tôi không đủ kỹ năng ở Bash để tìm hiểu điều này có nghĩa là gì hoặc tại sao nó lại là một vấn đề. Dù sao đi nữa, nó làm điều gì đó kỳ lạ, được ngăn ngừa bằng cách bash_4.3-9.2_amd64.deb trên hệ thống 64-bit, mà tại thời điểm chỉnh sửa trong ổn định và không ổn định nhưng không phải trong Jessie / thử nghiệm.
Để sửa lỗi này cho Jessie , hãy lấy Bash mới nhất từ không ổn định và cài đặt nó với dpkg -i
.
Jemenake cung cấp
wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb
như một lệnh sẽ lấy phiên bản 4.3-9.2 cho máy của bạn.
Và bạn có thể làm theo điều đó với:
sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb
để cài đặt nó.
Nếu bạn cần thêm các bản vá từ không ổn định cho hệ thống Jessie của mình , đây rõ ràng là cách để đi ( mutatis mutandis ).