何と Ubuntu 8.04 のインストールされたサーバがまだ動いていました。

ShellShock に対応しようと思いましたが、Ubuntu 8.04 はサポート切れなので apt-get でアップデートはできません。

以下、手動でインストールする手順：

mkdir src && cd src

wget http://ftp.gnu.org/gnu/bash/bash-3.2.48.tar.gz

tar zxvf bash-3.2.48.tar.gz

cd bash-3.2.48
for i in $(seq -f "%03g" 49 52); do

wget -nv http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-$i

patch -p0 < bash32-$i

done
./configure && make

sudo make install

 

sudo mv /bin/bash /bin/bash.old

sudo ln -s /usr/local/bin/bash /bin/bash

次のコマンドを実行して「vulnerable」と表示されなければOK：

env x='() { :;}; echo vulnerable' bash -c echo

参考資料:

• http://ubuntuforums.org/showthread.php?t=2245682&p=13128872#post13128872