Re: Welche Version haben die funktionierenden Bash-Patches für Debain 5 6 und 7?
Am Samstag, 27. September 2014 schrieb Uwe Kerstan:
> Am Samstag 27 September 2014, 14:27:03 schrieb Siegfrid Brandstätter:
> > > Wo hast du die Version 4.2+dfsg-1 her? Bei mir sieh es so aus:
> > Theoretisch müsste es auch von da kommen:
> > ###### Security
> > deb http://security.debian.org/ wheezy/updates main contrib non-free
> > deb-src http://security.debian.org/ wheezy/updates main contrib non-free
> >
> > ist die jetzt neuer oder älter welche du hast, bei der Nummerierung kenne
> > ich mich nicht aus. Was erhältst aber du beim Test für ein Ergebnis?
>
> Keine Ahnung, wo deine Version 4.2+dfsg-1 herkommt, ich habe sie nicht.
>
> Versionsnummer kannst du z.B. so vergleichen, Rückgabewert sollte 0 sein,
> falls 4.2+dfsg-1 größer als 4.2+dfsg-0.1+deb7u3 ist:
>
> $ dpkg --compare-versions 4.2+dfsg-1 gt 4.2+dfsg-0.1+deb7u3 ; echo $?
>
> Da deine installierte Versionnummer größer ist, wir das aktuelle Update
> wohl nicht eingespielt. Du solltest gezielt die Version 4.2+dfsg-0.1+deb7u3
> installieren. Diese Version sollte ok sein.
>
> $ env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo
> vulnerable' \ bash -c "echo test"
> bash: warning: x: ignoring function definition attempt
> bash: error importing function definition for `BASH_FUNC_x'
> test
>
Danke dir für deine Erläuterungen!
Das Problem hat sich nun erledigt mit dem Downgrade.
# grep bash /var/log/aptitude
[DOWNGRADE] bash:amd64 4.2+dfsg-1 -> 4.2+dfsg-0.1
[AKTUALISIERUNG] bash:amd64 4.2+dfsg-0.1 -> 4.2+dfsg-0.1+deb7u3
Was mich aber wiederum wundert, wieso geht der eine Befehl und deiner nicht
bei mir:
$ env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable'
\ bash -c "echo test"
env: : Datei oder Verzeichnis nicht gefunden
sigi@testing:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a
test"
this is a test
--
Liebe Grüsse
Sigi
Reply to: