无法在Debian 6.0上更新Bash(压缩)

9

我无法在Debian 6.0(Squeeze)服务器上更新Bash来摆脱发现的漏洞:

bash --version
GNU bash, version 4.1.5(1)-release (x86_64-pc-linux-gnu)

apt-get update
apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 7 not upgraded.

我可以为此服务器使用Squeeze-LTS来更新Bash吗?一周后,我将在另一台服务器上,因此不会进行任何其他更新。

uname -m
x86_64

lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 6.0.5 (squeeze)
Release:        6.0.5
Codename:       squeeze
linux  debian  bash 
tfegc
source

Answers:

23

您必须使用squeeze-lts存储库才能继续接收Debian Squeeze的更新

要添加此存储库,请编辑/etc/apt/sources.list并添加以下行

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

(您可以删除non-freecontrib如果需要的话)

请注意,截至squeeze-lts目前,原始CVE-2014-6271的 bash仅已更新,而尚未修复新的CVE-2014-7169

只更新庆典,运行程序后apt-get update使用apt-get install bash安装的,而不是一个完整的升级只是庆典。

DerfK
source
1
当我这样做时,我的bash会停留在4.1.5(1)版本中,并且仍然容易受到攻击...
Bastien Libersa 2014年
3

我必须添加LTS存储库来更新bash,该bash修复了Debian Squeeze上的Shellshock漏洞。我希望其他人觉得这很有用:

首先,检查您的包装盒是否易受攻击。剪切/粘贴到您的命令行:

env x='() { :;}; echo "WARNING: SHELLSHOCK DETECTED"' \
bash --norc -c ':' 2>/dev/null;

如果您收到类似的答复:

WARNING: SHELLSHOCK DETECTED

就像我在Squeeze中所做的那样,您存在漏洞。您必须将您的存储库更新为LTS版本以获取更新,方法是在/etc/apt/sources.list文件中注释掉以“ deb”开头的当前存储库行,然后添加以下内容:

deb http://http.debian.net/debian/ squeeze main contrib non-free
deb-src http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian squeeze-lts main contrib non-free

现在,您应该更新本地缓存并安装升级的bash(由于每个人都在更新,它们的服务器现在很慢,因此为带宽考虑,只需拉下bash):

apt-get update && apt-get install --only-upgrade bash

您可以稍后进行完整的系统升级。现在运行上面的漏洞检查脚本,您将不会得到任何文本输出,这意味着您已被修补:)

蝙蝠
source
1

我已经将我可以访问的每个Debian 6.0(Squeeze)系统都更新到Debian 7(Wheezy),这令人吃惊地几乎没有痛苦。

如果您不能执行此操作,则Squeeze-LTS中似乎确实存在更新。它有一份Bash的副本,其昨天的日期是4.1.3 + deb6u1。

迈克尔·汉普顿
source
我相信应该是4.1-3 + deb6u2,自您编写该文件以来可能已经更新。
samtresler 2014年
1

不再支持Debian 6.0(Squeeze)。有关原因,请参见Debian安全公告

如果您想获得安全更新,则需要更改sources.list。这是您需要输入的内容:

猫/etc/apt/sources.list | grep lts

deb http://ftp2.de.debian.org/debian squeeze-lts主要贡献者非免费

deb-src http://ftp2.de.debian.org/debian squeeze-lts主要贡献者非免费

这仅适用于x86和x64。

因此,您必须执行以下操作(引用Wiki):

对于二进制包,添加以下行:

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free

对于源包,添加以下行:

deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

显然,您可以决定要包括的包类型。

请参阅以下内容,以获取有关应更新的版本的详细信息:

Debian安全追踪器

资料来源:Debian Wiki

丹尼斯·诺尔特
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.