关于lubuntu的一个漏洞无更新

funders

昨天因为cubian莫名其妙挂了，刷了新的cubian也启动不了，无奈上官网镜像列表找了个ct-lubuntu-server-nand-v2.0.img刷。
后来用apt-get update想更新下软件，发现更新列表里竟然没有最近非常牛逼的一个bash漏洞补丁……
用漏洞测试代码测试了下：

1. env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

复制代码

回显：

1. vulnerable  
   
2. this is a test

复制代码

明显有漏洞了……
无奈去http://ports.ubuntu.com 源里找了下bash最新版手动安装下：

1. wget http://ports.ubuntu.com/ubuntu-ports/pool/main/b/bash/bash_4.3-11ubuntu1_armhf.deb
   
2. 
   
3. dpkg -i bash_4.3-11ubuntu1_armhf.deb

复制代码

然后测试，输出this is a test ，说明漏洞补了。

顺便说下，这个漏洞非常牛逼，后劲儿非常大，之前只是被利用到了cgi程序上，前几天又有牛人发现可以搭建恶意dhcp服务器利用此漏洞，意思是漏洞机器向恶意dhcp服务器获取IP地址时，会执行恶意代码（bash命令）……
info：http://www.freebuf.com/vuls/46603.html
以后会有更多牛人挖出利用此漏洞的方法的~

最后吐槽一下,为毛这个版本的ubuntu apt源维护这么差啊……………………………………………………………………