Perintah tes
x='() { :;}; echo vulnerable' bash
menunjukkan bahwa instalasi Debian 8 (Jessie) saya rentan, bahkan dengan pembaruan terbaru. Penelitian menunjukkan bahwa ada tambalan untuk stabil dan tidak stabil, tetapi pengujian tidak ditambal.
Saya pikir patch akan membuatnya untuk pengujian dalam beberapa hari, tetapi ini sebenarnya terlihat cukup buruk untuk menjadi paranoid. Apakah ada cara untuk mendapatkan paket dari tidak stabil dan menginstalnya tanpa merusak sistem saya? Meng-upgrade menjadi tidak stabil sepertinya akan menyebabkan lebih banyak masalah daripada menyelesaikannya.
Menurut Bob, ada kerentanan Shellshock kedua, yang diperbaiki di tambalan kedua. Tes untuk itu seharusnya:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
Tapi saya tidak cukup terampil dalam Bash untuk mengetahui apa artinya ini atau mengapa itu menjadi masalah. Bagaimanapun, ia melakukan sesuatu yang aneh, yang dicegah oleh bash_4.3-9.2_amd64.deb pada sistem 64-bit, yang pada saat mengedit dalam keadaan stabil dan tidak stabil tetapi tidak dalam Jessie / testing.
Untuk memperbaiki ini untuk Jessie , dapatkan Bash terbaru dari tidak stabil dan instal dengannya dpkg -i
.
Jemenake menawarkan
wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb
sebagai perintah yang akan mendapatkan versi 4.3-9.2 untuk mesin Anda.
Dan Anda dapat mengikutinya dengan:
sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb
untuk menginstalnya.
Jika Anda memerlukan tambalan lebih lanjut dari tidak stabil untuk sistem Jessie Anda , ini jelas cara yang harus dilakukan ( mutatis mutandis ).