経緯
巷で話題の ShellShock 対策を、管理している Debian(squeeze) のサーバに実施しました。
ココを見ながらやったんですが、、、
http://knowledge.sakura.ad.jp/tech/2580/
squeeze だと少し追加で手順が必要そうでしたので。
現状確認
載っていた検証スクリプトを流す。
$ env x='() { :;}; echo this bash is vulnerable' bash -c :
this bash is vulnerable
案の定脆弱性あり。
bash を更新する
$ sudo apt-get update
$ sudo apt-get install bash
これで完了、、、と思いきや、まだ出るとゆー。
$ env x='() { :;}; echo this bash is vulnerable' bash -c :
this bash is vulnerable
sources.list の追加
自分が試した 2014年9月下旬現在、squeeze の場合は、LTS のレポジトリを追加しなければならないご様子。
https://wiki.debian.org/LTS
こんな感じ。
$ cat /etc/apt/sources.list.d/lts.list
deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free
bash を更新する(再チャレンジ)
てことで再チャレンジ。
$ sudo apt-get update
$ sudo apt-get install bash
4.1-3+deb6u2
なる version が落ちてきました。
$ dpkg -l | grep bash
ii bash 4.1-3+deb6u2 The GNU Bourne Again SHell
検証スクリプトを流す。問題無し。対応完了。
$ env x='() { :;}; echo this bash is vulnerable' bash -c :
$