Versions Debian héritées et Bash Shellshock

Nous utilisons Debian Etch, Lenny et Squeeze car aucune mise à niveau n'a été effectuée dans cette boutique; nous avons plus de 150 systèmes exécutant différentes versions de Debian. À la lumière du «choc du shell» de cette semaine, je suppose que je dois mettre à niveau bash. Je ne connais pas Debian donc je suis inquiet.

Puis-je simplement exécuter apt-get install bashsur tous mes systèmes Debian et obtenir le bon paquet Bash pendant que mon référentiel pointe vers une entrée Squeeze. Sinon, quel autre plan d'action ai-je?

Vous avez la possibilité de simplement mettre à niveau bash. Pour ce faire, utilisez la apt-getcommande suivante :

apt-get update

Ensuite, une fois la mise à jour récupérée, toutes les mises à jour disponibles s'exécutent:

apt-get install --only-upgrade bash

Pour obtenir des mises à jour sur des versions plus anciennes, Squeeze par exemple, vous devrez probablement ajouter le dépôt Squeeze-LTS à votre sources.list.

Pour ajouter ce référentiel, modifiez /etc/apt/sources.listet ajoutez la ligne suivante à la fin du fichier.

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

Pour vérifier un système particulier pour les vulnérabilités (ou voir si la mise à niveau fonctionne), vous pouvez vérifier les versions bash que vous utilisez et voir si la version est affectée (c'est probablement le cas) ou il existe de nombreux scripts de test de shell disponibles sur le Web.

EDIT 1

Pour mettre bashà niveau sur Lenny ou Etch, jetez un œil à la réponse d'Ilya Sheershoff ci-dessous pour savoir comment compiler à bashpartir de la source et mettre à niveau manuellement la version de bashcelle que votre version utilise.

EDIT 2

Voici un exemple de sources.listfichier d'un serveur Squeeze que j'ai mis à niveau avec succès:

deb http://ftp.us.debian.org/debian/ squeeze main
deb-src http://ftp.us.debian.org/debian/ squeeze main

deb http://security.debian.org/ squeeze/updates main
deb-src http://security.debian.org/ squeeze/updates main

# squeeze-updates, previously known as 'volatile'
deb http://ftp.us.debian.org/debian/ squeeze-updates main
deb-src http://ftp.us.debian.org/debian/ squeeze-updates main

# Other - Adding the lsb source for security updates
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Si l' apt-get installoption n'a pas fonctionné, vous devrez recompiler le bash à partir des sources. Des exemples de Lenny et Etch sont dans la réponse. Je n'ai pas de machine Squeeze, mais on peut facilement savoir quoi faire.

La solution de TaNNkoST que j'ai trouvée sur le net:

Vérifiez le nombre de patchs disponibles et changez le nombre dans la partie "(seq" s'il y en a de nouveaux).

POUR LENNY

#first find out the version you have so you know what to get for the patches and source files
dpkg-query -l|grep bash
ii bash 4.1-3 The GNU Bourne Again SHell

#do this in the /usr/src dir
cd /usr/src
wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz
tar zxvf bash-4.1.tar.gz
cd bash-4.1

# fetch all patches, including latest ones that patches CVE-2014-6271
for i in $(seq -f "%03g" 0 14); do
wget -nv http://ftp.gnu.org/gnu/bash/bash-4.1-patches/bash41-$i
patch -p0 < bash41-$i
done

# check if yacc is installed. if not - install yacc
apt-get install bison

# configure,compile and install bash (this will install bash into /usr/local/bin/bash)
./configure && make
make install

# make a symlink from /bin/bash to the new binary
mv /bin/bash /bin/bash.old
ln -s /usr/local/bin/bash /bin/bash

# check that you're not vulnerable anymore wiith the output of the following
# it should not output vulnerable word anymore
env x='() { :;}; echo vulnerable' bash -c echo

#you can  Delete the old one thats a problem
rm /bin/bash.old

POUR ETCH J'ai suivi la même logique, mais je n'ai pas été yaccinstallé sur le système, j'ai donc dû installer le bisonpackage pour cela. Voici ce que j'ai trouvé:

#first find out the version you have so you know what to get for the patches and source files
dpkg-query -l|grep bash
ii bash 3.2-4 The GNU Bourne Again SHell

#do this in the /usr/src dir
cd /usr/src
wget http://ftp.gnu.org/gnu/bash/bash-3.2.tar.gz
tar zxvf bash-3.2.tar.gz
cd bash-3.2

# fetch all patches, including latest ones that patches CVE-2014-6271
for i in $(seq -f "%03g" 0 54); do
wget -nv http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-$i
patch -p0 < bash32-$i
done

# check if yacc is installed. if not - install yacc
apt-get install bison

# configure,compile and install bash (this will install bash into /usr/local/bin/bash)
./configure && make
make install

# at this point my system is not vulnerable already, test your system
env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

# if this is not the case for your system - try the following

# make a symlink from /bin/bash to the new binary
mv /bin/bash /bin/bash.old
ln -s /usr/local/bin/bash /bin/bash

# check that you're not vulnerable anymore wiith the output of the following
# it should not output vulnerable word anymore
env x='() { :;}; echo vulnerable' bash -c echo

#you can Delete the old one thats a problem
rm /bin/bash.old

Je ne sais pas si vous voulez faire confiance à ces packages mais quelqu'un a construit des packages pour woody (3.0), sarge (3.1), etch (4.0) et lenny (5.0). Ils sont disponibles ici:

http://blog.bofh.it/debian/id_451

Attention, il n'y a pas de référentiel pour installer ces packages via apt-get. Vous devez utiliser dpkgou créer votre propre référentiel local.

Pour mettre à jour Bash sur de nombreux OS différents, vous pouvez utiliser le script universel Deshellshock .