Комментарии 16
так в squeeze версия bash 4.1-3, до сих пор уязвима. по-крайней мере отсюда все эксплоиты подтвердили уязвимость. надо из wheezy пакет ставить, версия >=4.2.37(1).
Я для Squeeze подключил LTS репозитории, обновился и всё стало хорошо. Линк: wiki.debian.org/ru/LTS/Using
Меня одного смущает http как часть домена?
Очень часто приходилось после редакторов исправлять ссылки:
Наверно поэтому смущает глаз такой URL
deb _http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src _http://http.debian.net/debian/ squeeze-lts main contrib non-free
Очень часто приходилось после редакторов исправлять ссылки:
_http://http://example.com
Наверно поэтому смущает глаз такой URL
Спасибо, действительно мой косяк, там должен быть именно wheezy или squeeze-lts. Исправил.
Наткнулся на рецепт для Debian Etch (да-да, и там есть жизнь).
У меня на wheeze apt-get install говорит, что установлена последняя версия bash, хотя файл /bin/bash от 01.01.2013, и простейший тест
env X="() { :;} ; echo busted" bash -c "echo stuff" показывает, что уязвимость есть.
НЛО прилетело и опубликовало эту надпись здесь
А никто не задумывался о выпуске универсального бинарного патчера или хотя бы скрипта для автоматизации этих действий на всех затронутых системах?
Было обсуждение на эту тему в рассылке oss-security, предложен простой однострочник, правда на всех платформах он не проверялся.
Вот еще, в дополнение к однострочнику на perl от Solar Designer.
для старых версий Ubuntu 10.10, 11.04, 11.10 и Debian 5 просто поставил из исходников сделав скрипт:
Установка идет в /bin/bash что позволит при обновлении системы просто обновить bash до нормальной версии.
PS. Для тех у кого будет ругаться в Ubuntu на отсутствие patch или gcc просто в /etc/apt/sources.list надо указать old-releases.ubuntu.com
mkdir src
cd src
wget http://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz
#download all patches
for i in $(seq -f "%03g" 1 27); do wget http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-$i; done
tar zxvf bash-4.3.tar.gz
cd bash-4.3
#apply all patches
for i in $(seq -f "%03g" 1 27);do patch -p0 < ../bash43-$i; done
#build and install
./configure --prefix=/ && make && make install
cd ..
cd ..
rm -r src
Установка идет в /bin/bash что позволит при обновлении системы просто обновить bash до нормальной версии.
PS. Для тех у кого будет ругаться в Ubuntu на отсутствие patch или gcc просто в /etc/apt/sources.list надо указать old-releases.ubuntu.com
Для FreeBSD веток 9.0 и старше:
Затем перетягиваем /usr/bin/make из любой современной версии фри, иначе ничерта не соберется и будет ошибка, т.к. в современных портах используется чуть другая система компиляции.
Идем в /usr/ports/shells/bash и пробуем собрать через
Если ругнулось смотрим лог ругани, там скорее всего будет список что нужно дособрать и затем сконвертировать базу портов, после этого пересобирается нормально.
portsnap fetch
portsnap extract
Затем перетягиваем /usr/bin/make из любой современной версии фри, иначе ничерта не соберется и будет ошибка, т.к. в современных портах используется чуть другая система компиляции.
Идем в /usr/ports/shells/bash и пробуем собрать через
make reinstall clean
Если ругнулось смотрим лог ругани, там скорее всего будет список что нужно дособрать и затем сконвертировать базу портов, после этого пересобирается нормально.
Только совсем не понятно зачем для CentOS 5 собирать bash вручную из исходников.
Гораздо проще и удобнее просто обновить систему штатными средствами, через yum update
Обновления критических проблем безопасности RHEL5/CentOS5 будут выпускаться до 31 марта 2017 года.
Подробности: access.redhat.com/support/policy/updates/errata
Гораздо проще и удобнее просто обновить систему штатными средствами, через yum update
Обновления критических проблем безопасности RHEL5/CentOS5 будут выпускаться до 31 марта 2017 года.
Подробности: access.redhat.com/support/policy/updates/errata
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Исправление уязвимости shellshock для устаревших систем