Как закрыть Shellshock уязвимость Bash на Ubuntu 12.10
Провайдер VPS хостинга DigitalOcean (обзор) разослал своим клиентам своевременное уведомление об уязвимости в bash, которую окрестили Shellshock. Исправить уязвимость для LTS версий Ubuntu (12.04, 14.04) не составит труда:
sudo apt-get update && sudo apt-get install --only-upgrade bash
Здесь же я опишу процесс установки bash версии 4.3 на Ubuntu 12.10. Более подробную информацию об уязвимости Shellshock вы можете получить в самой статье.
Чтобы проверить наличие уязвимости Shellshock - запустите в консоли следующую команду:
env 'VAR=() { :;}; echo Bash is vulnerable!' 'FUNCTION()=() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
Если вы видите только текст «echo Bash Test» - все OK☺
Для проверки уязвимости на любом сайте можно воспользоваться online тулзой ShellShock Bash Vulnerability. Но, я не смог протестировать ни один сайт - возможно сервер с утилитой просто thdtне справлялся с большим количеством запросов.
В противном случае - скачайте и установите свежую версию bash:
wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb
sudo dpkg -i bash_4.3-9.2_*.deb
Внимание!
Перед установкой обновления не помешает сделать бэкап системы - не хочется ведь потерять доступ к вашему хостингу.
#bash vulnerability, #bash shellshock, #Ubuntu 12.10