web-dev-qa-db-ja.com

Debian 6.0(Squeeze)ではBashを更新できません

発見された脆弱性を取り除くために、Debian 6.0(Squeeze)サーバーで Bash を更新することはできません。

bash --version
GNU bash, version 4.1.5(1)-release (x86_64-pc-linux-gnu)

apt-get update
apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 7 not upgraded.

Bashを更新するためだけに、このサーバーにSqueeze-LTSを使用できますか? 1週間後、別のサーバーに移動するので、他の更新は行いません。

uname -m
x86_64

lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 6.0.5 (squeeze)
Release:        6.0.5
Codename:       squeeze
linuxdebianbash
9
tfegc

Debian Squeezeの更新を引き続き受信するには、squeeze-ltsリポジトリを使用する必要があります

このリポジトリを追加するには、/etc/apt/sources.listを編集して次の行を追加します

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

(必要に応じて、non-freeおよびcontribを削除できます)

この時点では、squeeze-ltsには元の CVE-2014-6271 の更新されたbashのみが含まれていますが、新しい CVE-2014-7169を修正するためにまだ更新されていないことに注意してください。

Bashのみを更新するには、apt-get updateを実行した後、完全なアップグレードではなく、apt-get install bashを使用してbashのみをインストールします。

23
DerfK

LTSリポジトリを追加してbashを更新し、Debian SqueezeのShellshockの脆弱性を修正する必要がありました。他の誰かがこれが便利だと思うことを願っています:

まず、ボックスが脆弱かどうかを確認します。これをコマンドラインにカット/ペーストします:

env x='() { :;}; echo "WARNING: Shellshock DETECTED"' \
bash --norc -c ':' 2>/dev/null;

次のような応答を受け取った場合:

WARNING: Shellshock DETECTED

Squeezeで行ったように、脆弱性があります。 /etc/apt/sources.listファイルの 'deb'で始まる現在のリポジトリ行をコメント化し、これらを追加することにより、リポジトリをLTSバージョンに更新して更新を取得する必要があります。

deb http://http.debian.net/debian/ squeeze main contrib non-free
deb-src http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian squeeze-lts main contrib non-free

次に、ローカルキャッシュを更新して、アップグレードされたbashをインストールする必要があります(サーバーの処理速度は、全員が更新しているため低速です。帯域幅を確保するためにbashを1つプルダウンしてください)。

apt-get update && apt-get install --only-upgrade bash

後でシステム全体のアップグレードを行うことができます。上記の脆弱性チェックスクリプトを実行すると、テキスト出力が表示されなくなります。つまり、パッチが適用されます。

3
batflaps

私がアクセスできるすべてのDebian 6.0(Squeeze)システムをすでにDebian 7(Wheezy)に更新しましたが、驚くほどほとんど痛みはありませんでした。

それができない場合は、Squeeze-LTSに更新があるようです。昨日の日付が4.1.3 + deb6u1のBashのコピーがあります。

1
Michael Hampton

Debian 6.0(Squeeze)はサポートされなくなりました。理由については Debian Security Announcement を参照してください。

セキュリティ更新を希望する場合は、sources.listを変更する必要があります。これはあなたが入力する必要があるものです:

cat /etc/apt/sources.list | grep lts

deb http://ftp2.de.debian.org/debian squeeze-lts main contrib non-free

deb-src http://ftp2.de.debian.org/debian squeeze-lts main contrib non-free

これはx86とx64でのみ機能します。

だからあなたは次のことをしなければなりません(wikiを引用して):

バイナリパッケージの場合は、次の行を追加します。

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free

ソースパッケージの場合は、次の行を追加します。

deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

明らかに、どのパッケージタイプを含めるかを決定できます。

一度更新すべきバージョンの詳細については、こちらをご覧ください。

Debian Security tracker

出典: Debian Wiki

1
Dennis Nolte