Não é possível atualizar o Bash no Debian 6.0 (Squeeze)

Você deve usar o repositório squeeze-lts para continuar recebendo atualizações para o Debian Squeeze

Para adicionar este repositório, edite /etc/apt/sources.list e adicione a linha

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

(você pode remover non-free e contrib , se desejar)

Observe que, a partir desse instante, squeeze-lts tem apenas o bash atualizado para o CVE-2014-6271 mas ainda não foi atualizado para corrigir o novo CVE-2014-7169 .

Para atualizar apenas o bash, após executar apt-get update use apt-get install bash para instalar apenas o bash, em vez de uma atualização completa.

Eu tive que adicionar repositórios LTS para atualizar o bash que corrige a vulnerabilidade Shellshock no Debian Squeeze. Espero que outra pessoa ache isso útil:

Primeiro, verifique se sua caixa está vulnerável. Recorte / cole isto na sua linha de comando:

env x='() { :;}; echo "WARNING: SHELLSHOCK DETECTED"' \
bash --norc -c ':' 2>/dev/null;

Se você receber uma resposta como:

WARNING: SHELLSHOCK DETECTED

Como fiz no Squeeze, você tem a vulnerabilidade. Você terá que atualizar seus repositórios para a versão LTS para obter as atualizações, comentando suas linhas de repositório atuais começando com 'deb' em seu arquivo /etc/apt/sources.list e adicionando-as:

deb http://http.debian.net/debian/ squeeze main contrib non-free
deb-src http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian squeeze-lts main contrib non-free

Agora você deve atualizar o seu cache local e instalar o bash atualizado (seus servidores estão lentos agora porque todo mundo está atualizando, então basta puxar para baixo o bash por causa da largura de banda):

apt-get update && apt-get install --only-upgrade bash

Você pode fazer uma atualização completa do sistema mais tarde. Agora, execute o script de verificação de vulnerabilidades acima e você não deve obter nenhuma saída de texto, o que significa que você está corrigido:)

Eu já atualizei todos os sistemas Debian 6.0 (Squeeze) aos quais eu tenho acesso, para o Debian 7 (Wheezy), que era surpreendentemente quase indolor.

Se você não pode fazer isso, parece haver atualizações no Squeeze-LTS; tem uma cópia do Bash com a data de ontem, 4.1.3 + deb6u1.

O Debian 6.0 (Squeeze) não é mais suportado. Veja o Anúncio de Segurança do Debian pelas razões.

Se você deseja ter atualizações de segurança, é necessário alterar seu sources.list . Isto é o que você precisa digitar:

cat /etc/apt/sources.list | grep lts

deb http://ftp2.de.debian.org/debian squeeze-lts main contrib non-free

deb-src http://ftp2.de.debian.org/debian squeeze-lts main contrib non-free

Isso só funciona para x86 e x64.

Então você tem que fazer o seguinte (citando o wiki):

Para pacotes binários, adicione esta linha:

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free

Para pacotes de código-fonte, adicione esta linha:

deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Obviamente, você pode decidir quais tipos de pacote você deseja incluir.

Veja isso para detalhes sobre a versão que você deve ter atualizado:

Rastreador de segurança do Debian

Fonte: Debian Wiki