O comando de teste
x='() { :;}; echo vulnerable' bash
mostra que minha instalação do Debian 8 (Jessie) é vulnerável, mesmo com as atualizações mais recentes. A pesquisa mostra que há um patch para estável e instável, mas esse teste é sem patch.
Eu acho que o patch chegará aos testes em alguns dias, mas isso realmente parece desagradável o suficiente para ser paranóico. Existe alguma maneira de obter o pacote instável e instalá-lo sem interromper o meu sistema? A atualização para instável parece causar mais problemas do que resolve.
Segundo Bob, existe uma segunda vulnerabilidade do Shellshock, que é corrigida em um segundo patch. O teste para isso deve ser:
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("
Mas não tenho habilidade suficiente no Bash para descobrir o que isso significa ou por que é um problema. De qualquer forma, ele faz algo estranho, impedido pelo bash_4.3-9.2_amd64.deb em sistemas de 64 bits, que no momento da edição é estável e instável, mas não em Jessie / testing.
Para corrigir isso para Jessie , instale o Bash mais recente e instale-o dpkg -i
.
Jemenake oferece
wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb
como um comando que obterá a versão 4.3-9.2 para sua máquina.
E você pode acompanhar isso com:
sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb
para instalá-lo.
Se você precisar de mais patches instáveis para o seu sistema Jessie , este é claramente o caminho a seguir ( mutatis mutandis ).