在旧发行版上仅安装来自 Trusty 的 Bash(以避免 Shellshock 漏洞)

在旧发行版上仅安装来自 Trusty 的 Bash(以避免 Shellshock 漏洞)

有没有办法在旧机器上只安装最新发行版的 bash?

我曾经将某个软件包固定到某个版本,但那是因为我不想更新该特定软件包。在这里,它将来会被固定。

这可能吗?或者我可以在这些旧存储库中添加 PPA 吗?

我不想只是修补 shellshock 漏洞,我宁愿添加电子存储库,这样如果发现更多漏洞,我就会得到频繁的更新。

答案1

我们不建议运行旧的不受支持的版本的主要原因是它们不会自动获得安全修复。

对于 bash 版本 10.04 LTS、12.04 LTS 和 14.04 LTS,只有将获得安全更新和升级。

如果您不了解此 ppa 的维护者,将随机 ppa 添加到旧版本可能会引发更严重的安全问题。此外,许多 ppa 通常也不会提供不受支持的旧版本的软件包。

但是,您始终可以从其 Debian 软件包中下载并安装任何软件包,该软件包可从官方资源下载。只有在无法解决从较新版本到较旧版本的依赖关系的情况下,我们才不能这样做。例如狂欢从较新下载的 Debian 包中下载并安装应该是安全的,因为新版本和旧版本中的依赖关系是相同的(但可能与非常旧的版本不同)。

从下面的链接中选择页面顶部的版本(预先选择可靠),然后选择您的架构(amd64或者i386)位于页面底部,用于从以下位置下载 Debian bash 软件包security.ubuntu.com

答案2

如果在你的旧系统上无法使用,只需安装bashDebian 软件包即可security.ubuntu.com

尝试将所有补丁应用于 bash按照此处提供的脚本连续执行:

什么是 CVE-2014-6271 bash 漏洞(Shellshock)以及如何修复它?

相关内容