如何在debian测试/ jessie中修复Shellshock安全漏洞?
测试命令 x='() { :;}; echo vulnerable' bash 表明我的Debian 8(Jessie)安装存在漏洞,即使具有最新更新也是如此。研究表明,有一个用于稳定和不稳定的补丁程序,但是该测试尚未发布。 我认为该补丁将在几天之内进行测试,但这实际上看起来很讨厌,以至于偏执。有什么方法可以使软件包从不稳定状态中获得并安装它而不会破坏我的系统?升级到不稳定的外观可能会导致更多问题,甚至无法解决。 Bob认为,还有第二个Shellshock漏洞,该漏洞已在第二个补丁中修复。对此的测试应该是: env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :(" 但是我对Bash不够熟练,无法弄清楚这意味着什么或为什么会引起问题。无论如何,它做了一些奇怪的事情,在64位系统上,bash_4.3-9.2_amd64.deb阻止了这种情况,在编辑时,bash_4.3-9.2_amd64.deb处于稳定和不稳定状态,但在Jessie / testing中却没有。 要为Jessie修复此问题,请从不稳定的版本中获取最新的Bash并使用进行安装dpkg -i。 Jemenake提供 wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb 作为将为您的计算机获取4.3-9.2版本的命令。 然后,您可以执行以下操作: sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb 安装它。 如果您需要进一步的不稳定斑块为您杰西系统,这显然是走(路比照)。