Я обновил bash, как только были доступны оба патча, и использовал тестовый скрипт в https://shellshocker.net, Я показываю исправленные все уязвимости, кроме segfault.
ОПЕРАЦИОННЫЕ СИСТЕМЫ:
cat /etc/*release*
CentOS release 6.5 (Final)
Установленная версия bash:
yum info bash
Name : bash
Arch : x86_64
Version : 4.1.2
Release : 15.el6_5.2
Вот часть тестового сценария segfault:
# CVE-2014-6277
CVE20146277=$((bash -c "f() { x() { _;}; x() { _;} <<a; }" 2>/dev/null || echo vulnerable) | grep 'vulnerable' | wc -l)
echo -n "CVE-2014-6277 (segfault): "
if [ $CVE20146277 -gt 0 ]; then
echo -e "\033[91mVULNERABLE\033[39m"
EXITCODE=$((EXITCODE+2))
else
echo -e "\033[92mnot vulnerable\033[39m"
fi
Я больше не показываю обновления bash в репозиториях (с прошлой недели я проверял их дважды в день).
Есть ли другой способ исправить уязвимость segfault (без сборки из исходников)?
Мы ждем, когда апстрим выпустит исправления, касающиеся исходной (и последующих) CVE. Мы все здесь в одной лодке. Ошибка сегментации повлияет только на сеанс bash, а не на остальную часть вашего сервера.
Пожалуйста, продолжайте использовать «yum update». Если возможно, перезагружайте компьютер регулярно (раз в месяц).
Я настоятельно рекомендую вам не загружать исходный код и не создавать свой собственный bash или искать сторонние обновления. Есть изрядная доля FUD, которая бесполезна для большинства системных администраторов.
Просто продолжайте проверять наличие обновлений через yum, и по мере того, как разработчики Red Hat отсортируют эти другие CVE, патчи будут быстро отфильтрованы. Вы можете подписаться на список рассылки centos-devel, если хотите быть в курсе событий.