El comando de prueba
x='() { :;}; echo vulnerable' bash
muestra que mi instalación de Debian 8 (Jessie) es vulnerable, incluso con las últimas actualizaciones. La investigación muestra que hay un parche para estable e inestable, pero que las pruebas no tienen parches.
Supongo que el parche llegará a prueba en un par de días, pero en realidad esto parece lo suficientemente desagradable como para ser paranoico. ¿Hay alguna forma de obtener el paquete de inestable e instalarlo sin romper mi sistema? Parece que actualizar a inestable causará más problemas de los que resuelve.
Según Bob, hay una segunda vulnerabilidad de Shellshock, que se corrige en un segundo parche. Se supone que la prueba es:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
Pero no tengo la habilidad suficiente en Bash para entender qué significa esto o por qué es un problema. En cualquier caso, hace algo extraño, que se impide mediante bash_4.3-9.2_amd64.deb en sistemas de 64 bits, que en el momento de la edición es estable e inestable, pero no en Jessie / testing.
Para arreglar esto para Jessie , obtenga el último Bash de inestable e instálelo con dpkg -i
.
Jemenake ofrece
wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb
como un comando que obtendrá la versión 4.3-9.2 para su máquina.
Y puedes seguir eso con:
sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb
para instalarlo
Si necesita más parches inestables para su sistema Jessie , este es claramente el camino a seguir ( mutatis mutandis ).