Не могу обновить Bash на Debian 6.0 (Squeeze)

Я не могу обновить Bash на сервере Debian 6.0 (Squeeze), чтобы избавиться от обнаруженной уязвимости:

bash --version
GNU bash, version 4.1.5(1)-release (x86_64-pc-linux-gnu)

apt-get update
apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 7 not upgraded.

Могу ли я использовать Squeeze-LTS для этого сервера только для обновления Bash? Через неделю я буду на другом сервере, поэтому не буду делать никаких других обновлений.

uname -m
x86_64

lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 6.0.5 (squeeze)
Release:        6.0.5
Codename:       squeeze

Вы должны использовать squeeze-ltsрепозиторий, чтобы продолжить получать обновления для Debian Squeeze

Чтобы добавить этот репозиторий, отредактируйте /etc/apt/sources.listи добавьте строку

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

(вы можете удалить non-freeи contribпри желании)

Обратите внимание, что на данный момент squeeze-ltsобновлен bash только для исходного CVE-2014-6271, но он еще не обновлен для исправления нового CVE-2014-7169 .

Чтобы обновить только bash, после запуска apt-get updateиспользуйте apt-get install bashдля установки только bash, а не полное обновление.

Мне пришлось добавить репозитории LTS для обновления bash, которое исправляет уязвимость Shellshock в Debian Squeeze. Я надеюсь, что кто-то еще находит это полезным:

Сначала проверьте, уязвим ли ваш ящик. Вырежьте / вставьте это в вашу командную строку:

env x='() { :;}; echo "WARNING: SHELLSHOCK DETECTED"' \
bash --norc -c ':' 2>/dev/null;

Если вы получите ответ вроде:

WARNING: SHELLSHOCK DETECTED

Как и в Squeeze, у вас есть уязвимость. Вам нужно будет обновить свои репозитории до версии LTS, чтобы получать обновления, закомментировав текущие строки репозитория, начиная с 'deb' в вашем файле /etc/apt/sources.list, а затем добавив их:

deb http://http.debian.net/debian/ squeeze main contrib non-free
deb-src http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian squeeze-lts main contrib non-free

Теперь вам нужно обновить локальный кеш и установить обновленный bash (их серверы работают медленно, потому что все обновляются, поэтому просто отключите bash для пропускной способности):

apt-get update && apt-get install --only-upgrade bash

Вы можете сделать полное обновление системы позже. Теперь запустите приведенный выше скрипт проверки уязвимости, и вы не получите никакого текстового вывода, что означает, что вы залатаны :)

Я уже обновил каждую систему Debian 6.0 (Squeeze), к которой у меня есть доступ, до Debian 7 (Wheezy), которая была на удивление в основном безболезненной.

Если вы не можете сделать это, похоже, есть обновления в Squeeze-LTS; у него есть копия Bash со вчерашней датой, 4.1.3 + deb6u1.

Debian 6.0 (Squeeze) больше не поддерживается. См. Объявление безопасности Debian по причинам.

Если вы хотите получать обновления безопасности, вам нужно поменять свой sources.list. Это то, что вам нужно ввести:

cat /etc/apt/sources.list | grep lts

deb http://ftp2.de.debian.org/debian squeeze-lts основной вклад несвободный

deb-src http://ftp2.de.debian.org/debian squeeze-lts основной вклад несвободный

Это работает только для x86 и x64.

Поэтому вы должны сделать следующее (цитируя вики):

Для бинарных пакетов добавьте эту строку:

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free

Для исходных пакетов добавьте эту строку:

deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Очевидно, вы можете решить, какие типы пакетов вы хотите включить.

Смотрите это для деталей о версии, которую вы должны были однажды обновить:

Трекер безопасности Debian

Источник: Debian Wiki