Impossible de mettre à jour Bash sur Debian 6.0 (Squeeze)

9

Je ne peux pas mettre à jour Bash sur un serveur Debian 6.0 (Squeeze) pour me débarrasser de la vulnérabilité découverte:

bash --version
GNU bash, version 4.1.5(1)-release (x86_64-pc-linux-gnu)

apt-get update
apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 7 not upgraded.

Puis-je utiliser Squeeze-LTS pour ce serveur juste pour mettre à jour Bash? Après une semaine, je serai sur un autre serveur, je ne ferai donc aucune autre mise à jour.

uname -m
x86_64

lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 6.0.5 (squeeze)
Release:        6.0.5
Codename:       squeeze
tfegc
la source

Réponses:

23

Vous devez utiliser le squeeze-ltsréférentiel pour continuer à recevoir les mises à jour de Debian Squeeze

Pour ajouter ce référentiel, modifiez /etc/apt/sources.listet ajoutez la ligne

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

(vous pouvez supprimer non-freeet contribsi vous le souhaitez)

Notez qu'à partir de cet instant, squeeze-ltsn'a que la bash mise à jour pour le CVE-2014-6271 d'origine mais n'a pas encore mis à jour pour corriger le nouveau CVE-2014-7169 .

Pour mettre à jour uniquement bash, après avoir exécuté, apt-get updateutilisez apt-get install bashpour installer uniquement bash, au lieu d'une mise à niveau complète.

DerfK
la source
1
Quand je le fais, mon bash reste bloqué à la version 4.1.5 (1) et reste vulnérable ...
Bastien Libersa
3

J'ai dû ajouter des référentiels LTS pour mettre à jour bash qui corrige la vulnérabilité Shellshock sur Debian Squeeze. J'espère que quelqu'un d'autre trouve cela utile:

Tout d'abord, vérifiez si votre box est vulnérable. Coupez / collez ceci sur votre ligne de commande:

env x='() { :;}; echo "WARNING: SHELLSHOCK DETECTED"' \
bash --norc -c ':' 2>/dev/null;

Si vous obtenez une réponse comme:

WARNING: SHELLSHOCK DETECTED

Comme je l'ai fait dans Squeeze, vous avez la vulnérabilité. Vous devrez mettre à jour vos référentiels vers la version LTS pour obtenir les mises à jour, en commentant vos lignes de référentiel actuelles en commençant par «deb» dans votre fichier /etc/apt/sources.list, puis en les ajoutant:

deb http://http.debian.net/debian/ squeeze main contrib non-free
deb-src http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian squeeze-lts main contrib non-free

Maintenant, vous devez mettre à jour votre cache local et installer le bash mis à niveau (leurs serveurs sont lents maintenant parce que tout le monde est en train de mettre à jour, alors tirez simplement le bash pour la bande passante):

apt-get update && apt-get install --only-upgrade bash

Vous pouvez effectuer une mise à niveau complète du système ultérieurement. Maintenant, exécutez le script de vérification de vulnérabilité ci-dessus et vous ne devriez pas obtenir de sortie de texte, ce qui signifie que vous êtes corrigé :)

batflaps
la source
1

J'ai déjà mis à jour tous les systèmes Debian 6.0 (Squeeze) auxquels j'ai accès, vers Debian 7 (Wheezy), qui était étonnamment indolore.

Si vous ne pouvez pas faire cela, il semble y avoir des mises à jour dans Squeeze-LTS; il a une copie de Bash avec la date d'hier, 4.1.3 + deb6u1.

Michael Hampton
la source
Je pense que cela devrait être 4.1-3 + deb6u2, peut-être mis à jour depuis que vous avez écrit cela.
samtresler
1

Debian 6.0 (Squeeze) n'est plus prise en charge. Voir l' annonce de la sécurité Debian pour les raisons.

Si vous souhaitez avoir des mises à jour de sécurité, vous devez modifier votre sources.list. Voici ce que vous devez saisir:

cat /etc/apt/sources.list | grep lts

deb http://ftp2.de.debian.org/debian squeeze-lts contrib principal non libre

deb-src http://ftp2.de.debian.org/debian squeeze-lts contrib principale non libre

Cela ne fonctionne que pour x86 et x64.

Vous devez donc faire ce qui suit (en citant le wiki):

Pour les packages binaires, ajoutez cette ligne:

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free

Pour les packages source, ajoutez cette ligne:

deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Évidemment, vous pouvez décider quels types de packages vous souhaitez inclure.

Voir ceci pour plus de détails sur la version que vous devriez avoir mise à jour une fois:

Traqueur de sécurité Debian

Source: Debian Wiki

Dennis Nolte
la source