Nadat bekend is geworden heb ik mijn systemen gecontroleerd. 1 daarvan (Raspberrypi) heeft de lek na de update gedicht.
Echter een vps server ook met debian wheezy niet:
~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
~# dpkg-query -s bash
Package: bash
Essential: yes
Status: install ok installed
Priority: required
Section: shells
Installed-Size: 3902
Maintainer: Matthias Klose <doko@debian.org>
Architecture: i386
Multi-Arch: foreign
Version: 4.2+dfsg-0.1
Replaces: bash-completion (<< 20060301-0), bash-doc (<= 2.05-1)
Depends: base-files (>= 2.1.12), debianutils (>= 2.15)
Pre-Depends: dash (>= 0.5.5.1-2.2), libc6 (>= 2.11), libtinfo5
Recommends: bash-completion (>= 20060301-0)
Suggests: bash-doc
Conflicts: bash-completion (<< 20060301-0)
Conffiles:
/etc/skel/.bashrc d5f897a5ec2b5f55b412004e7715977f
/etc/skel/.bash_logout 22bfb8c1dd94b5f3813a2b25da67463f
/etc/skel/.profile ecb6d3479ac3823f1da7f314d871989b
/etc/bash.bashrc 6334b485d48f479d8de056806b274cd3
Description: GNU Bourne Again SHell
…
Ook getest na een sys. reboot zonder resultaat.