Debian7离线升级bash漏洞—然后修复方法

### 昨天还说的传说要又一次出补丁,今天就都出来了。基本操作一致就是測试结果不一样。继续修复 Debian7 wheezy版本号的bash漏洞,例如以下操作:

1、測试是否须要升级

# env x=‘() { :;}; echo vulnerable‘ bash -c "echo this is a test"   #显演示样例如以下,须要升级

vulnerable

this is a test

2、离线升级

### 好多server不能出外网,仅仅能下载了升级了

# wget http://security.debian.org/debian-security/pool/updates/main/b/bash/bash_4.2+dfsg-0.1+deb7u3_amd64.deb

# dpkg -i bash_4.2+dfsg-0.1+deb7u3_amd64.deb

(Reading database ... 38868 files and directories currently installed.)

Preparing to replace bash 4.2+dfsg-0.1+deb7u1 (using bash_4.2+dfsg-0.1+deb7u3_amd64.deb) ...

Unpacking replacement bash ...

Setting up bash (4.2+dfsg-0.1+deb7u3) ...

update-alternatives: using /usr/share/man/man7/bash-builtins.7.gz to provide /usr/share/man/man7/builtins.7.gz (builtins.7.gz) in auto mode

Processing triggers for man-db ...

# dpkg -l bash      # 查看升级后的版本号

Desired=Unknown/Install/Remove/Purge/Hold

| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend

|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)

||/ Name                  Version         Architecture    Description

+++-=====================-===============-===============-===============================================

ii  bash                  4.2+dfsg-0.1+de amd64           GNU Bourne Again SHell

ii  bash                  4.2+dfsg-0.1+de amd64           GNU Bourne Again SHell

#  env x=‘() { :;}; echo vulnerable‘ bash -c "echo this is a test"  # 示的例子中,下列的变化,升级完成

this is a test

版权声明:本文博客原创文章,博客,未经同意,不得转载。

时间: 2024-10-15 06:34:31

Debian7离线升级bash漏洞—然后修复方法的相关文章

Debian7离线升级bash漏洞修复方法

### 继续修复 Debian7 wheezy版本的bash漏洞,如下操作: 1.测试是否需要升级 # env x='() { :;}; echo vulnerable' bash -c "echo this is a test"   #显示如下,需要升级 vulnerable this is a test 2.离线升级 ### 好多服务器不能出外网,只能下载了升级了 # wget http://security.debian.org/debian-security/pool/upda

关于Bash漏洞及修复方法

近期Bash漏洞让不少类Unix躺枪... 下面是相关的检测方法和修复方法(内容来源阿里云开发者论坛) ----------------------------------------------------------------------------------------------------- Bash紧急漏洞预警,请所有正在使用Linux服务器的用户注意.该漏洞直接影响基于 Unix 的系统(如 Linux.OS X 等),可导致远程攻击者在受影响的系统上执行任意代码. [已确认被

Windows Server中的IIS漏洞以及修复方法

Windows Server中的IIS漏洞以及修复方法 我可以有把握地说,对于Windows服务器管理员来说普遍的目标是拥有适当弹性的系统.世界上有很多网络安全威胁,你最不希望发生的是在世界的另一头,或者在你的组织内部有人利用了IIS或者Windows的漏洞,而这一切都是本来可以避免的. 你可能无法触及应用层面的漏洞,但是在服务器层面你有很多事情可以做到使基于IIS的系统更加安全.通过回顾我多年的网站安全评估项目,可以指出以下最影响Windows服务器的IIS漏洞. 未处理异常(HTTP 500

验证码的三个常见漏洞和修复方法

把验证码存储在Cookie中 一般来说,我们会把验证码的值用Session存储起来,通过对比用户提交的验证码和Session中的验证码,就可以知道输入是否正确.由于Session会占用服务器资源,我曾经想过是否可以把验证码的值加密后存储在Cookie中.不过事实证明,这只是异想天开罢了. 假设验证码的值是a,通过sha1加密后得到的值为b = sha1(a),并且把b存储在Cookie中.而用户提交的验证码值为c,通过判断sha1(c)是否与b相等,可以知道输入的验证码是否正确.然而,Cooki

Linux 曝出重大bash安全漏洞及修复方法

日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击. 已确认被成功利用的软件及系统:所有安装GNU bash 版本小于或者等于4.3的Linux操作系统. 该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行. 漏洞检测方法: env x='() { :;}; e

linux_曝出重大bash安全漏洞及修复方法

日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击. 已确认被成功利用的软件及系统:所有安装GNU bash 版本小于或者等于4.3的Linux操作系统. 该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行. 漏洞检测方法: 1 env x='() { :;};

linux下离线更新nessus漏洞插件的方法

Nessus是一款优秀的漏洞扫描软件,在其v6 HOME版本中在线更新漏洞插件不成功,采用离线更新采用网友提供的方法也不行,于是认真研究了下,成功地更新了插件,在此将更新方法进行分享. 1.获得Challenge code [email protected]:~#  /opt/nessus/sbin/nessuscli fetch --challenge Challenge code: 4a137cbef3e6457c33669dd2f4143baa88df1305 You can copy t

Python常见安全漏洞及修复方法集合!你所不会的这里都有!

命令注入有可能在使用 popen.subprocess.os.system 调用一个进程并从变量中获取参数时发生,当调用本地命令时,有人可能会将某些值设置为恶意值. 下面是个简单的脚本(链接:https://www.kevinlondon.com/2015/07/26/dangerous-python-functions.html),使用用户提供的文件名调用子进程: 攻击者会将filename的值设置为"; cat /etc/passwd | mail [email protected]或者其他

Python中的10个常见安全漏洞及修复方法

编写安全的代码很困难,当你学习一门编程语言.一个模块或框架时,你会学习其使用方法.在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例.然而,许多 Python 开发人员却根本不知道这些. 以下是我总结的10个Python常见安全漏洞,排名不分先后. 1.输入注入 注入***影响广泛且很常见,注入有很多种类,它们影响所有的语言.框架和环境. SQL 注入是直接编写 SQL 查询(而非使用 ORM) 时将字符串与变量混合.我读过很多代码,其中"