Não é possível atualizar o Bash no Debian 6.0 (Squeeze)

9

Eu não posso atualizar o Bash em um servidor Debian 6.0 (Squeeze) para se livrar dos arquivos descobertos vulnerabilidade:

bash --version
GNU bash, version 4.1.5(1)-release (x86_64-pc-linux-gnu)

apt-get update
apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 7 not upgraded.

Posso usar o Squeeze-LTS para este servidor apenas para atualizar o Bash? Depois de uma semana, estarei em outro servidor, então não farei nenhuma outra atualização.

uname -m
x86_64

lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 6.0.5 (squeeze)
Release:        6.0.5
Codename:       squeeze
    
por tfegc 26.09.2014 / 01:05

4 respostas

23

Você deve usar o repositório squeeze-lts para continuar recebendo atualizações para o Debian Squeeze

Para adicionar este repositório, edite /etc/apt/sources.list e adicione a linha

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

(você pode remover non-free e contrib , se desejar)

Observe que, a partir desse instante, squeeze-lts tem apenas o bash atualizado para o CVE-2014-6271 mas ainda não foi atualizado para corrigir o novo CVE-2014-7169 .

Para atualizar apenas o bash, após executar apt-get update use apt-get install bash para instalar apenas o bash, em vez de uma atualização completa.

    
por 26.09.2014 / 01:22
3

Eu tive que adicionar repositórios LTS para atualizar o bash que corrige a vulnerabilidade Shellshock no Debian Squeeze. Espero que outra pessoa ache isso útil:

Primeiro, verifique se sua caixa está vulnerável. Recorte / cole isto na sua linha de comando:

env x='() { :;}; echo "WARNING: SHELLSHOCK DETECTED"' \
bash --norc -c ':' 2>/dev/null;

Se você receber uma resposta como:

WARNING: SHELLSHOCK DETECTED

Como fiz no Squeeze, você tem a vulnerabilidade. Você terá que atualizar seus repositórios para a versão LTS para obter as atualizações, comentando suas linhas de repositório atuais começando com 'deb' em seu arquivo /etc/apt/sources.list e adicionando-as:

deb http://http.debian.net/debian/ squeeze main contrib non-free
deb-src http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian squeeze-lts main contrib non-free

Agora você deve atualizar o seu cache local e instalar o bash atualizado (seus servidores estão lentos agora porque todo mundo está atualizando, então basta puxar para baixo o bash por causa da largura de banda):

apt-get update && apt-get install --only-upgrade bash

Você pode fazer uma atualização completa do sistema mais tarde. Agora, execute o script de verificação de vulnerabilidades acima e você não deve obter nenhuma saída de texto, o que significa que você está corrigido:)

    
por 29.09.2014 / 06:32
1

Eu já atualizei todos os sistemas Debian 6.0 (Squeeze) aos quais eu tenho acesso, para o Debian 7 (Wheezy), que era surpreendentemente quase indolor.

Se você não pode fazer isso, parece haver atualizações no Squeeze-LTS; tem uma cópia do Bash com a data de ontem, 4.1.3 + deb6u1.

    
por 26.09.2014 / 01:21
1

O Debian 6.0 (Squeeze) não é mais suportado. Veja o Anúncio de Segurança do Debian pelas razões.

Se você deseja ter atualizações de segurança, é necessário alterar seu sources.list . Isto é o que você precisa digitar:

cat /etc/apt/sources.list | grep lts

deb http://ftp2.de.debian.org/debian squeeze-lts main contrib non-free

deb-src http://ftp2.de.debian.org/debian squeeze-lts main contrib non-free

Isso só funciona para x86 e x64.

Então você tem que fazer o seguinte (citando o wiki):

Para pacotes binários, adicione esta linha:

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free

Para pacotes de código-fonte, adicione esta linha:

deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Obviamente, você pode decidir quais tipos de pacote você deseja incluir.

Veja isso para detalhes sobre a versão que você deve ter atualizado:

Rastreador de segurança do Debian

Fonte: Debian Wiki

    
por 29.09.2014 / 09:30