2014年12月27日 星期六

Fedora core 5 更新 bash

原文:
Unix /Linux 的Bash Shell 出現重大漏洞,危險等級可能超越 Heartbleed
"該漏洞可能讓駭客遠端執行惡意程式,影響GNU、Linux及Mac OS等基於UNIX的各種作業系統。有資安業者認為,此一被稱為Shell Shock的漏洞影響程度可能與Heartbleed相當,甚至更甚於Heartbleed。"
http://www.ithome.com.tw/news/91107

由於server還沒換新系統 (好懶 XD)
不過還是更新一下bash好了  orz....

檢查的語法:
env x='() { :;}; echo XD' bash -c "echo This is a test code"

更新前打上面那串指令, 會出現
XD
This is a test code
 
更新後打同樣指令, 就只看到
This is a test code 


FC4的更新步驟如下:

 * 安裝bison (之後make bash source code會用到yacc, 這個在bison套件裡面)
    - yum install bison
 * 下載相對應的bash source code 與 patch (我是先建立一個資料夾來放檔案)
    - mkdir update_bash
    - cd update_bash/
    - wget https://ftp.gnu.org/gnu/bash/bash-3.1.tar.gz
    - tar zxvf bash-3.1.tar.gz
    - nano patch_all.sh  (新增一個sh檔, 內容如下方粗體字)
for i in $(seq -f "%03g" 1 23);
   do

   echo "Getting ... http://ftp.gnu.org/gnu/bash/bash-3.1-patches/bash31-$i";
   curl "http://ftp.gnu.org/gnu/bash/bash-3.1-patches/bash31-$i" | patch -p0 ;
done

    - cd bash-3.1
    - sh ../patch_all.sh

   - 之後patch完, 就 ./configure, make, make install

這樣應該就好了 XD

ref:
http://blog.miniasp.com/post/2014/10/01/Recompile-Bash-to-avoid-specially-crafted-environment-variables-code-injection-attack.aspx