Judulnya mengatakan itu semua.
Saya masih rentan (CVE-2014-6271 dan mungkin CVE-2014-7169) dengan Ubuntu 14.04.1 dan Bash 4.3-7ubuntu1.4
- apt-get update = tidak ada
- upgrade apt-get = tidak ada
- apt-get install bind = tidak ada
Memeriksa ini: https://launchpad.net/ubuntu/+source/bash/4.3-7ubuntu1.4 (tidak ada versi yang lebih baru)
Tes Ran:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Mendapatkan:
vulnerable
hello
Sudah di sini selama seminggu sekarang!
[Memperbarui]
Saya awalnya menginstal bash_4.3.orig.tar.gz dari https://launchpad.net/ubuntu/+source/bash/4.3-7ubuntu1.4 yang mungkin merupakan kesalahan.
Saya melakukan ini sebelum melakukan sudo apt-get update && sudo apt-get install bash
akan bekerja (saya pikir).
Di halaman ini, ada file lain, bash_4.3-7ubuntu1.4.debian.tar.gz dan bash_4.3-7ubuntu1.4.dsc. Saya tidak tahu harus berbuat apa dengan ini. Saya mengunduh bash_4.3-7ubuntu1.4.debian.tar.gz dan melihatnya, tetapi tidak tahu apa yang harus dilakukan dengannya.
Saya masih rentan menurut tes ini: env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Saya mencoba sebanyak mungkin kombinasi apt-get, dpkg, dan menginstal dari bash_4.3.orig.tar.gz seperti yang dapat Anda bayangkan. Masih gagal tes.
Saya menemukan:
- / usr / local / bin / bash - GNU bash, versi 4.3.0 (1) -release (i686-pc-linux-gnu)
- / bin / bash - GNU bash, versi 4.3.11 (1) -release (i686-pc-linux-gnu)
Pagi ini, setelah berkeliling selama berhari-hari, saya akhirnya putus asa dan melemparkan Hail Mary dan mencoba skrip dari: Bagaimana cara menambal kerentanan shellshock pada sistem Ubuntu yang sudah usang yang tidak dapat saya tingkatkan?
Sekarang saya punya:
- / bin / bash - GNU bash, versi 4.3.27 (1) -release (i686-pc-linux-gnu)
Masih gagal tes: env x='() { :;}; echo vulnerable' bash -c 'echo hello'
ketika saya masuk. Jadi saya sudo /bin/bash
dan mencoba lagi. Masih gagal.
Jadi saya mencoba:
sudo apt-get install --only-upgrade bash
dan dapatkan ...
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
1 not fully installed or removed.
Need to get 0 B/549 kB of archives.
After this operation, 0 B of additional disk space will be used.
Do you want to continue? [Y/n] y
dpkg: error processing package bash (--configure):
package is in a very bad inconsistent state; you should
reinstall it before attempting configuration
Errors were encountered while processing:
bash
E: Sub-process /usr/bin/dpkg returned an error code (1)
Jadi saya mencoba:
sudo apt-get install bash
dan dapatkan ...
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
1 not fully installed or removed.
Need to get 0 B/549 kB of archives.
After this operation, 0 B of additional disk space will be used.
Do you want to continue? [Y/n] y
dpkg: error processing package bash (--configure):
package is in a very bad inconsistent state; you should
reinstall it before attempting configuration
Errors were encountered while processing:
bash
E: Sub-process /usr/bin/dpkg returned an error code (1)
Ini tentu saja tidak mengejutkan saya.
Tolong bantu.
Adakah yang bisa membantu saya memaksakan pemutakhiran / bin / bash dan / usr / local / bin / bash dengan versi yang berfungsi? Dapatkah saya menggunakan file yang ditemukan di halaman ini https://launchpad.net/ubuntu/+source/bash/4.3-7ubuntu1.4 atau dapatkah saya membersihkan instalasi GNU ?? Juga, dapatkah bash disalin dari / bin ke / usr / local / bin / (atau sebaliknya) jika saya bisa mendapatkan hanya satu yang diperbaiki?
Saya membutuhkan jawaban Linux yang kuat dan bukan hanya beo apt-get yang terlihat di mana-mana. Saya sudah membaca semuanya atau menggantung semua yang bisa saya temukan. Jika Anda memiliki sumber daya, beri tahu saya. Anda mungkin telah sukses, tetapi saya tidak punya masalah selain itu .
Masuk ke obrolan baik-baik saja.
is a Linux kernel security module that provides the mechanism for supporting access control security policies, including United States Department of Defense–style mandatory access controls (MAC).