Je ne peux pas mettre à jour Bash sur un serveur Debian 6.0 (Squeeze) pour me débarrasser de la vulnérabilité découverte:
bash --version
GNU bash, version 4.1.5(1)-release (x86_64-pc-linux-gnu)
apt-get update
apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 7 not upgraded.
Puis-je utiliser Squeeze-LTS pour ce serveur juste pour mettre à jour Bash? Après une semaine, je serai sur un autre serveur, je ne ferai donc aucune autre mise à jour.
uname -m
x86_64
lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 6.0.5 (squeeze)
Release: 6.0.5
Codename: squeeze
J'ai dû ajouter des référentiels LTS pour mettre à jour bash qui corrige la vulnérabilité Shellshock sur Debian Squeeze. J'espère que quelqu'un d'autre trouve cela utile:
Tout d'abord, vérifiez si votre box est vulnérable. Coupez / collez ceci sur votre ligne de commande:
Si vous obtenez une réponse comme:
Comme je l'ai fait dans Squeeze, vous avez la vulnérabilité. Vous devrez mettre à jour vos référentiels vers la version LTS pour obtenir les mises à jour, en commentant vos lignes de référentiel actuelles en commençant par «deb» dans votre fichier /etc/apt/sources.list, puis en les ajoutant:
Maintenant, vous devez mettre à jour votre cache local et installer le bash mis à niveau (leurs serveurs sont lents maintenant parce que tout le monde est en train de mettre à jour, alors tirez simplement le bash pour la bande passante):
Vous pouvez effectuer une mise à niveau complète du système ultérieurement. Maintenant, exécutez le script de vérification de vulnérabilité ci-dessus et vous ne devriez pas obtenir de sortie de texte, ce qui signifie que vous êtes corrigé :)
la source
J'ai déjà mis à jour tous les systèmes Debian 6.0 (Squeeze) auxquels j'ai accès, vers Debian 7 (Wheezy), qui était étonnamment indolore.
Si vous ne pouvez pas faire cela, il semble y avoir des mises à jour dans Squeeze-LTS; il a une copie de Bash avec la date d'hier, 4.1.3 + deb6u1.
la source
Debian 6.0 (Squeeze) n'est plus prise en charge. Voir l' annonce de la sécurité Debian pour les raisons.
Si vous souhaitez avoir des mises à jour de sécurité, vous devez modifier votre
sources.list
. Voici ce que vous devez saisir:Cela ne fonctionne que pour x86 et x64.
Vous devez donc faire ce qui suit (en citant le wiki):
Pour les packages binaires, ajoutez cette ligne:
Pour les packages source, ajoutez cette ligne:
Évidemment, vous pouvez décider quels types de packages vous souhaitez inclure.
Voir ceci pour plus de détails sur la version que vous devriez avoir mise à jour une fois:
Traqueur de sécurité Debian
Source: Debian Wiki
la source