ডেবিয়ান টেস্টিং / জেসিতে আমি শেলশক সুরক্ষার দুর্বলতা কীভাবে ঠিক করব?

পরীক্ষা আদেশ

x='() { :;}; echo vulnerable' bash

আমার ডেবিয়ান 8 (জেসি) ইনস্টলেশনটি সর্বশেষ আপডেটের পরেও দুর্বল shows গবেষণা দেখায় যে স্থিতিশীল এবং অস্থির জন্য একটি প্যাচ আছে, তবে সেই পরীক্ষার তুলনা নেই।

আমি অনুমান করেছি যে প্যাচটি কয়েক দিনের মধ্যে এটি পরীক্ষায় পরিণত করবে, তবে এটি আসলে অদ্ভুত বলে মনে হচ্ছে যথেষ্ট খারাপ। অস্থির থেকে প্যাকেজটি পাওয়ার এবং আমার সিস্টেমটি না ভেঙে ইনস্টল করার কোনও উপায় আছে কি? অস্থির চেহারায় আপগ্রেড করা দেখে মনে হচ্ছে এটি সমাধানের চেয়ে আরও বেশি সমস্যা তৈরি করবে।

ববের মতে, একটি দ্বিতীয় শেলশক দুর্বলতা রয়েছে, যা দ্বিতীয় প্যাচে স্থির করা হয়েছে। এটির জন্য পরীক্ষা হওয়ার কথা:

 env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :("

তবে এর অর্থ কী বা কেন এটি সমস্যা তা বোঝার জন্য আমি বাশে যথেষ্ট দক্ষ নই। যে কোনও হারে এটি অদ্ভুত কিছু করে, যা বাশ _4.৩-৯.২_amd64.deb দ্বারা -৪-বিট সিস্টেমে প্রতিরোধ করা হয়েছে, যা সম্পাদনার সময় স্থিতিশীল এবং অস্থির হয় তবে জেসি / পরীক্ষায় নয়।

জেসির জন্য এটি ঠিক করতে , অস্থির থেকে সর্বশেষতম ব্যাশ পান এবং এটি দিয়ে ইনস্টল করুন dpkg -i।

জেমেনাকে অফার

wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb

একটি কমান্ড হিসাবে যা আপনার মেশিনের জন্য 4.3-9.2 সংস্করণ পাবে।

এবং আপনি এটি দিয়ে অনুসরণ করতে পারেন:

sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb

এটি ইনস্টল করতে।

আপনার জেসি সিস্টেমের জন্য আপনার যদি অস্থির থেকে আরও প্যাচগুলির দরকার হয় তবে এটি স্পষ্টভাবে যাওয়ার উপায় ( মিউটাসিস মিউট্যান্ডিস )।

এই লিঙ্কটির মাধ্যমে অস্থির থেকে প্যাকেজটি ডাউনলোড করুন । আপনি সেখানে নির্ভরতাও পরীক্ষা করতে পারেন, যদিও দেখে মনে হচ্ছে অস্থির ব্যাশের পরীক্ষা থেকে বাশের মতো একই নির্ভরতা রয়েছে। নিম্নলিখিতটি দিয়ে ডাউনলোড করা ডেবটি ইনস্টল করুন।

dpkg -i

সোমবার প্রকাশিত অতিরিক্ত বাশ ফিক্সগুলির জন্য আমি এই উত্তরটি সম্পাদনা করেছি।

উবুন্টু 12.04-র জন্য আমি একটি আপডেট চালিয়েছি, তবে দুর্বলতা থেকে মুক্তি পেতে বাশের জন্য ইনস্টলটি চালাতে হয়েছিল।

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

এই কমান্ডটি সিস্টেমকে দুর্বল দেখায় তাই আপডেটটি চালান।

apt-get update && apt-get -y upgrade

আবার পরীক্ষা।

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

এখনও দুর্বল।

apt-get install -y bash

আবার পরীক্ষা।

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

সম্পাদনা করুন: অতিরিক্ত প্যাচগুলি প্রকাশের পরে, আউটপুট পরিবর্তিত হয়েছে।

root@host:/home/ubuntu# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

হ্যাঁ! সংশোধন করা হয়েছে। এটি অন্যান্য সংস্করণের জন্য কাজ করা উচিত, তবে আমি এটি 12.04 এর বাইরে পরীক্ষা করিনি।

এছাড়াও, নীচে রণমোকের জবাব ভালভাবে কাজ করে, তাই তাকে একটি উঁচুতে দিন!

ডেবিয়ান ((হুইজি) থেকে প্যাকেজ আনতে ছাড়াই ডেবিয়ান .0.০ (নিন) এর বিকল্প:

এলটিএস সুরক্ষা সংগ্রহস্থল ব্যবহার করুন যা প্যাচটি ব্যাকপোর্ট করেছে।

এটি এতে যুক্ত করুন /etc/apt/sources.list:

#LTS security
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

তারপরে দৌড়াও apt-get update && apt-get install bash।

ভায়া: লিনাক্সকশনস

apt-get updateআগে apt-get dist-upgradeএবং আপনি প্যাচ পাবেন। কেবল এটি নিজেই করেছিলেন এবং একটি বাশ আপগ্রেড ঠেলেছে যা সমস্যার সমাধান করে।

আমি আমার হ্যাকিনটোস এ এটি স্থির করেছি :

$ brew install bash

$ x='() { :;}; echo vulnerable' bash
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
bash-4.3$ 

পুরানো উবুন্টু সংস্করণগুলিতে কীভাবে এটি ব্যবহার করতে হয় সে সম্পর্কে আমি একটি নিবন্ধ লিখেছি। আপনি মূলত আপনার উত্সগুলিকে তালিকাভুক্ত করুন list আপনি এটা ধাপে জন্য ধাপে বা থেকে এটা copypaste পড়তে পারেন এখানে ।

সারাংশ:

sudo sed -i 's/YOUR_OS_CODENAME/trusty/g' /etc/apt/sources.list
sudo apt-get update
sudo apt-get install --only-upgrade bash

আপনি যদি ওল্ড-রিলিজ.বুন্টু.কম ব্যবহার করেন তবে নিবন্ধটি পড়ুন এবং ভুলে যাবেন না যে আপনি এটি আবার পরিবর্তন করতে চান:

sudo sed -i 's/trusty/YOUR_OS_CODENAME/g' /etc/apt/sources.list

বাশ প্যাকেজটির স্থির সংস্করণ ( চেঞ্জলগ দেখুন ) এখন 2014-09-26 14:18 ইউটিসি-তে দেবিয়ান 8 (জেসি) এখন ( প্যাকেজের তথ্য দেখুন )।

দ্বিতীয় ফিক্স, নীচের মন্তব্যে উল্লিখিত, এখন জেসি সংগ্রহস্থলে রয়েছে। অস্থির থেকে ইনস্টল করার দরকার নেই। উপরে প্যাকেজ তথ্য লিঙ্ক দেখুন।

অস্থির থেকে আর ইনস্টল করার দরকার নেই।

শুধু রান:

# aptitude update

অনুসরণ করেছে:

# aptitude upgrade

তারপরে যাচাই করুন যে দুর্বলতা চলে গেছে (নতুন খোলা শেলের মধ্যে):

$ x='() { :;}; echo vulnerable' bash
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'