No se puede actualizar Bash en Debian 6.0 (Squeeze)

No puedo actualizar Bash en un servidor Debian 6.0 (Squeeze) para eliminar la vulnerabilidad descubierta:

bash --version
GNU bash, version 4.1.5(1)-release (x86_64-pc-linux-gnu)

apt-get update
apt-get install bash
Reading package lists... Done
Building dependency tree
Reading state information... Done
bash is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 7 not upgraded.

¿Puedo usar Squeeze-LTS para este servidor solo para actualizar Bash? Después de una semana estaré en otro servidor, por lo que no haré ninguna otra actualización.

uname -m
x86_64

lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 6.0.5 (squeeze)
Release:        6.0.5
Codename:       squeeze

Debe usar el squeeze-ltsrepositorio para continuar recibiendo actualizaciones de Debian Squeeze

Para agregar este repositorio, edite /etc/apt/sources.listy agregue la línea

deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib

(puede eliminar non-freey contribsi lo desea)

Tenga en cuenta que a partir de este instante, squeeze-ltssolo tiene el bash actualizado para el CVE-2014-6271 original , pero aún no se ha actualizado para corregir el nuevo CVE-2014-7169 .

Para actualizar solo bash, después de ejecutar, apt-get updateuse apt-get install bashpara instalar solo bash, en lugar de una actualización completa.

Tuve que agregar repositorios LTS para actualizar bash que corrige la vulnerabilidad Shellshock en Debian Squeeze. Espero que alguien más encuentre esto útil:

Primero, verifique si su caja es vulnerable. Corta / pega esto en tu línea de comando:

env x='() { :;}; echo "WARNING: SHELLSHOCK DETECTED"' \
bash --norc -c ':' 2>/dev/null;

Si obtiene una respuesta como:

WARNING: SHELLSHOCK DETECTED

Como hice en Squeeze, tienes la vulnerabilidad. Tendrá que actualizar sus repositorios a la versión LTS para obtener las actualizaciones, comentando sus líneas de repositorio actuales que comienzan con 'deb' en su archivo /etc/apt/sources.list y luego agregue estas:

deb http://http.debian.net/debian/ squeeze main contrib non-free
deb-src http://http.debian.net/debian/ squeeze main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
deb http://http.debian.net/debian squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian squeeze-lts main contrib non-free

Ahora debe actualizar su caché local e instalar el bash actualizado (sus servidores son lentos ahora porque todos están actualizando, así que simplemente baje el bash por el bien del ancho de banda):

apt-get update && apt-get install --only-upgrade bash

Puede realizar una actualización completa del sistema más adelante. Ahora ejecute el script de verificación de vulnerabilidad anterior y no debería obtener ningún resultado de texto, lo que significa que está parcheado :)

Ya actualicé todos los sistemas Debian 6.0 (Squeeze) a los que tengo acceso, a Debian 7 (Wheezy), lo que fue sorprendentemente mayormente indoloro.

Si no puede hacer eso, parece que hay actualizaciones en Squeeze-LTS; tiene una copia de Bash con la fecha de ayer, 4.1.3 + deb6u1.

Debian 6.0 (Squeeze) ya no es compatible. Consulte el Anuncio de seguridad de Debian para conocer los motivos.

Si desea tener actualizaciones de seguridad, debe cambiar su sources.list. Esto es lo que necesitas para ingresar:

cat /etc/apt/sources.list | grep lts

deb http://ftp2.de.debian.org/debian squeeze-lts main contrib no libre

deb-src http://ftp2.de.debian.org/debian squeeze-lts main contrib no libre

Esto solo funciona para x86 y x64.

Entonces debe hacer lo siguiente (citando el wiki):

Para paquetes binarios, agregue esta línea:

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free

Para paquetes fuente, agregue esta línea:

deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Obviamente, usted puede decidir qué tipos de paquetes desea incluir.

Consulte esto para obtener detalles sobre la versión que debería haber actualizado una vez:

Rastreador de seguridad Debian

Fuente: Debian Wiki