मैं डेबियन परीक्षण / जेसी में शेलशॉक सुरक्षा भेद्यता को कैसे ठीक करूं?

परीक्षण की आज्ञा

x='() { :;}; echo vulnerable' bash

यह दर्शाता है कि मेरे डेबियन 8 (जेसी) की स्थापना नवीनतम अद्यतन के साथ भी असुरक्षित है। अनुसंधान से पता चलता है कि स्थिर और अस्थिर के लिए एक पैच है, लेकिन यह परीक्षण अप्रभावित है।

मुझे लगता है कि पैच कुछ दिनों में परीक्षण करने के लिए बना देगा, लेकिन यह वास्तव में बुरा लग रहा है के बारे में पागल हो। क्या पैकेज को अस्थिर करने और मेरे सिस्टम को तोड़ने के बिना इसे स्थापित करने का कोई तरीका है? अस्थिर दिखने पर अपग्रेड करने से ऐसा लगता है कि इससे समस्याएँ हल हो जाएंगी।

बॉब के अनुसार, एक दूसरा शेलशॉक भेद्यता है, जिसे एक दूसरे पैच में तय किया गया है। इसके लिए परीक्षण होना चाहिए:

 env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("

लेकिन मैं बश में पर्याप्त कुशल नहीं हूं कि यह काम करने का क्या मतलब है या यह समस्या क्यों है। किसी भी दर पर, यह कुछ अजीब करता है, जिसे 64-बिट सिस्टम पर bash_4.3-9.2_amd64.deb द्वारा रोका जाता है, जो संपादन के समय स्थिर और अस्थिर है लेकिन जेसी / परीक्षण में नहीं है ।

जेसी के लिए इसे ठीक करने के लिए , अस्थिर से नवीनतम बैश प्राप्त करें और इसे स्थापित करें dpkg -i।

Jemenake प्रदान करता है

wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb

एक कमांड के रूप में जिसे आपकी मशीन के लिए 4.3-9.2 संस्करण मिलेगा।

और आप इसका अनुसरण कर सकते हैं:

sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb

इसे स्थापित करने के लिए।

क्या आपको अपने जेसी सिस्टम के लिए अस्थिर से आगे पैच की आवश्यकता है, यह स्पष्ट रूप से जाने का रास्ता है ( म्यूटेटिस म्यूटेंडिस )।

इस लिंक के माध्यम से अस्थिर से पैकेज डाउनलोड करें । आप वहाँ पर निर्भरताएँ भी देख सकते हैं, हालाँकि ऐसा लगता है कि अस्थिर बैश के परीक्षण के बाश के समान ही निर्भरताएँ हैं। निम्नलिखित के साथ डाउनलोड की गई डिबेट स्थापित करें।

dpkg -i

मैंने सोमवार को जारी किए गए अतिरिक्त बैश फिक्स के लिए इस उत्तर को संपादित किया है।

उबंटू 12.04 के लिए, मैंने एक अपडेट चलाया, लेकिन भेद्यता से छुटकारा पाने के लिए बैश के लिए इंस्टॉल भी चलाना पड़ा।

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

यह कमांड दिखाता है कि सिस्टम कमजोर है, इसलिए अपडेट चलाएं।

apt-get update && apt-get -y upgrade

फिर से परीक्षण करें।

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

फिर भी असुरक्षित है।

apt-get install -y bash

फिर से परीक्षण करें।

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

संपादित करें: अतिरिक्त पैच जारी होने के बाद, आउटपुट बदल गया है।

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

वाह! फिक्स्ड। यह अन्य संस्करणों के लिए काम करना चाहिए, लेकिन मैंने इसे 12.04 से आगे का परीक्षण नहीं किया है।

इसके अलावा, रनमोक का जवाब नीचे अच्छी तरह से काम करता है, इसलिए उसे उत्थान दें!

डेबियन 7 (व्हीजी) से पैकेज लाने के बिना डेबियन 6.0 (निचोड़) के लिए एक विकल्प:

पैच बैकपोर्ट वाले LTS सुरक्षा रिपॉजिटरी का उपयोग करें।

इसे इसमें जोड़ें /etc/apt/sources.list:

#LTS security
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

फिर चला apt-get update && apt-get install bash।

वाया: लिनेक्विस्टेशन

apt-get updateपहले apt-get dist-upgradeऔर आपको पैच मिलेगा। बस इसे खुद किया और एक बैश अपग्रेड था जो समस्या को ठीक करता है।

मैंने इसे अपने हैकिन्टोश पर नियत किया:

$ brew install bash

$ x='() { :;}; echo vulnerable' bash
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
bash-4.3$ 

मैंने इस बारे में एक लेख लिखा है कि पुराने उबंटू संस्करणों पर इसे कैसे करें। आप मूल रूप से अपने source.list को नवीनतम में अपडेट करते हैं और फिर apt-get अपडेट और अपग्रेड बैश चलाते हैं। आप इसे चरण दर चरण पढ़ सकते हैं या इसे यहाँ से कॉपी कर सकते हैं ।

सारांश:

sudo sed -i 's/YOUR_OS_CODENAME/trusty/g' /etc/apt/sources.list
sudo apt-get update
sudo apt-get install --only-upgrade bash

यदि आप पुराने-releases.ubuntu.com का उपयोग करते हैं तो लेख पढ़ें और यह न भूलें कि आप इसे वापस बदलना चाहते हैं:

sudo sed -i 's/trusty/YOUR_OS_CODENAME/g' /etc/apt/sources.list

बैश पैकेज के लिए निर्धारित संस्करण (देखें चैंज ) को 2014-09-26 14:18 यूटीसी के अनुसार अब डेबियन 8 (जेसी) में देखें ( पैकेज की जानकारी देखें )।

नीचे दिए गए टिप्पणियों में उल्लिखित दूसरा फिक्स, अब जेसी भंडार में भी है । अस्थिर से स्थापित करने की कोई आवश्यकता नहीं है। ऊपर पैकेज जानकारी लिंक देखें।

अस्थिर से किसी भी अधिक स्थापित करने की आवश्यकता नहीं है।

बस दौडो:

# aptitude update

के बाद:

# aptitude upgrade

फिर सत्यापित करें कि भेद्यता चली गई है (एक नए खुले शेल में):

$ x='() { :;}; echo vulnerable' bash
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'