परीक्षण की आज्ञा
x='() { :;}; echo vulnerable' bash
यह दर्शाता है कि मेरे डेबियन 8 (जेसी) की स्थापना नवीनतम अद्यतन के साथ भी असुरक्षित है। अनुसंधान से पता चलता है कि स्थिर और अस्थिर के लिए एक पैच है, लेकिन यह परीक्षण अप्रभावित है।
मुझे लगता है कि पैच कुछ दिनों में परीक्षण करने के लिए बना देगा, लेकिन यह वास्तव में बुरा लग रहा है के बारे में पागल हो। क्या पैकेज को अस्थिर करने और मेरे सिस्टम को तोड़ने के बिना इसे स्थापित करने का कोई तरीका है? अस्थिर दिखने पर अपग्रेड करने से ऐसा लगता है कि इससे समस्याएँ हल हो जाएंगी।
बॉब के अनुसार, एक दूसरा शेलशॉक भेद्यता है, जिसे एक दूसरे पैच में तय किया गया है। इसके लिए परीक्षण होना चाहिए:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
लेकिन मैं बश में पर्याप्त कुशल नहीं हूं कि यह काम करने का क्या मतलब है या यह समस्या क्यों है। किसी भी दर पर, यह कुछ अजीब करता है, जिसे 64-बिट सिस्टम पर bash_4.3-9.2_amd64.deb द्वारा रोका जाता है, जो संपादन के समय स्थिर और अस्थिर है लेकिन जेसी / परीक्षण में नहीं है ।
जेसी के लिए इसे ठीक करने के लिए , अस्थिर से नवीनतम बैश प्राप्त करें और इसे स्थापित करें dpkg -i
।
Jemenake प्रदान करता है
wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb
एक कमांड के रूप में जिसे आपकी मशीन के लिए 4.3-9.2 संस्करण मिलेगा।
और आप इसका अनुसरण कर सकते हैं:
sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb
इसे स्थापित करने के लिए।
क्या आपको अपने जेसी सिस्टम के लिए अस्थिर से आगे पैच की आवश्यकता है, यह स्पष्ट रूप से जाने का रास्ता है ( म्यूटेटिस म्यूटेंडिस )।