Welche befehle hast du probiert und was war die Ausgabe?
apt-get upgrade
und
apt-get update
Die Ausgabe war hier die gewöhnliche, nur dass eben Bash nicht als Paket mit aufgeführt wurde.
In dieser Reihenfolge? Dann kein Wunder, dass es kein Update gab.
apt-get update && apt-get upgradeBin jetzt nicht so firm mit Debian aber du hast verdammt viele squeeze sourcen in deiner liste für ein wheezy.....
bzw. sehe ich nur
Hit http://ftp.de.debian.org wheezy Release.gpg
Hit http://ftp.de.debian.org wheezy Releasefür wheezy .... vermisse da sowas wie
deb http://http.debian.net/debian wheezy main
deb http://http.debian.net/debian wheezy-updates main
deb http://security.debian.org/ wheezy/updates main.... das fällt mir so auf den ersten Blick auf.
naja ist jetzt grad schwer nachzuvollziehen..... ich empehle dir mal ganz stark eine apt.sources entsprechend anzupassen:
SourcesList - Debian Wiki
im Endeffekt erstmal das rein und was in einen "alten" listen eben noch so rumschwirrt... weiß wie gesagt nicht wie es in debian so ist, ich hab z.B. auch /etc/apt/sources.list.d/ als Verzeichnis zur Verfügung in welches ich eben "spezielle" repos reinpakte.... wenn du auch sowas zur Verfügung hast würde ich es nutzen...
Danke für die Sources, Bash wurde jetzt auf 4.3.26(1) aktualisiert, der Exploit funktioniert allerdings nach wie vor.
Hast Du nach dem Upgrade auch eine neue BASH gestartet oder die alte, angreifbare, getestet?
Ich kann mit einem weniger dienen. Bei mir wird nur der 6277 als "Vulnerable" ausgeworfen.
ich habe von dieser schon genannten Seite Shellshock BASH Vulnerability Tester
das dort angebotene updatescript
curl https://shellshocker.net/fixbash | sh
benutzt (vorher eine Sicherung erstellen).
Einmal auf debian squeeze (6.x) (vorher auf LTS umgestellt LTS/Using - Debian Wiki )
und dann auch noch auf debian wheezy (7.x)
Es lief in beiden Fällen ohne Probleme durch und alle 7 exploits wurden anschl. (eine neue bash starten) bestanden.
man benötigt dazu die Pakete "patch", "curl", "gcc" und "make",
sofern nicht schon installiert.
also ggf. vorher nötig:
apt-get install patch
apt-get install curl
apt-get install gcc
apt-get install makeDieses Script ist keine gute Idee.
Man Trickst damit die Paketverwaltung aus. Bash ist ab diesem Zeitpunkt nicht mehr von der Paketverwaltung verwaltet sondern liegt einfach im System rum.
Nutzt doch einfach die LTS Quellen für Squeeze oder Upgraded zu Wheezy.
Wheezy wäre hier die sowieso die sicherste Lösung.
//edit
Übrigens cool das es noch Leute gibt, die ein Script aus einer unsicheren Quelle welches als root ausgeführt werden muss, einfach blind mit einem Oneliner ausführt.
//edit2
Außerdem ist es bescheuert, dass dieses Script die Bash noch in /usr/local/bin kopiert. Unter Debian liegt die Bash nur unter /bin/.
Man Trickst damit die Paketverwaltung aus. Bash ist ab diesem Zeitpunkt nicht mehr von der Paketverwaltung verwaltet sondern liegt einfach im System rum.
Und erhält damit keinerlei Updates mehr... Also sollten noch weitere Sicherheitslücken gefunden werden, kann das böse enden.
Nutzt doch einfach die LTS Quellen für Squeeze oder Upgraded zu Wheezy.
Wheezy wäre hier die sowieso die sicherste Lösung.
weder Squeeze LTS noch Wheezy liefern derzeit ein vollständig gepatchtes Bash aus.
Man Trickst damit die Paketverwaltung aus. Bash ist ab diesem Zeitpunkt nicht mehr von der Paketverwaltung verwaltet sondern liegt einfach im System rum.
das kann man ja hinterher wieder gerade ziehen ...
Die Shellshock Lücke ist mittlerweile in den Major Linux Distributionen gefixt:
http://metadata.ftp-master.deb…dfsg-0.1+deb7u3_changelog
Was Du jetzt als "nicht vollständig" bezeichnest, sind weitere Fehler im Funktionsparser, die zwar doof sind, aber nicht von außen ausnutzbar sind.
weder Squeeze LTS noch Wheezy liefern derzeit ein vollständig gepatchtes Bash aus.
Alle extern ausnutzbaren Lücken (CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 und CVE-2014-7187) sind sowohl in squeeze-lts als auch in wheezy behoben: Information on source package bash
