Дебианоидам геронтофилам
Oct. 1st, 2014 08:23 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
natarajЕсли вы до сих пор где-то используете squeeze, знайте, что squeeze больше не обновляется.
Обновляется другой репозиторий: squeeze-lts, да и то не весь, а только серверная часть, без всего иксового.
Поэтому в свете выявленной узявимости в баше в /etc/apt/sources.list следует добавить что-то вроде
deb http://mirror.yandex.ru/debian/ squeeze-lts main
и таки обновить систему, или хотя бы сам bash
PS наличие уязвимости провеяется командой
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
PPS даже если на сервер ходят только свои система все равно уязвима. Эту уязвимость в каких-то случаях можно эксплуатировать через апач. И много через что еще... лучше обновиться...
Обновляется другой репозиторий: squeeze-lts, да и то не весь, а только серверная часть, без всего иксового.
Поэтому в свете выявленной узявимости в баше в /etc/apt/sources.list следует добавить что-то вроде
deb http://mirror.yandex.ru/debian/ squeeze-lts main
и таки обновить систему, или хотя бы сам bash
PS наличие уязвимости провеяется командой
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
PPS даже если на сервер ходят только свои система все равно уязвима. Эту уязвимость в каких-то случаях можно эксплуатировать через апач. И много через что еще... лучше обновиться...
no subject
Date: 2014-10-01 06:58 pm (UTC)no subject
Date: 2014-10-01 07:03 pm (UTC)Сейчас напишу нормально.
В дебианах, начиная с некоторой версии, в качестве системного шелла используется /bin/dash, который неуязвим. Соответственно, чуть менее чем все векторы атаки, типа CGI, system и т.д. пролетают мимо. Остаётся вариант скриптов, написанных на #!/bin/bash - то есть, админки всякие. Тут да, мрак. Но админки это всё-таки не то, что голым задом в интернет.
no subject
Date: 2014-10-01 07:48 pm (UTC)no subject
Date: 2014-10-01 07:54 pm (UTC)