Mais informações AQUI
Verifiquei os sistemas do EdgeRouter PRO e ele estava vulnerável.
Para fazer o teste se o seu também está, entre no com o seguinte comando na edgerouter:
sudo env x='() { :;}; echo vulneravel' bash -c "echo teste"
Se estiver, você verá a palavra vulnerável, caso contrário o bash vai gerar um erro.
Na minha versão está com a falha e tentei das diversas formas atualizar o bash para uma versão de um debian novo, até agora todas sem sucesso e após procedimento tive que resetar o equipamento.
Enquanto não é lançado o pacote de atualização do bash para essa versão de Debian, para então ser lançado um novo firmware, recomendo desativar o serviço de ssh ou configurar o firewall para aceitar conexões ssh somente da sua rede.
Você pode desativar o ssh com o comando:
delete service ssh
Caso eu encontre alguma atualização compatível, atualizo aqui.
ATUALIZAÇÃO: APLICANDO A CORREÇÃO
A única versão de pacote que tem a correção é a
bash_4.2+dfsg-0.1+deb7u1_mips.deb
E somente para debian wheezy, então a solução que encontrei ( E TESTEI, INCLUSIVE JÁ ESTÁ EM EQUIPAMENTO QUE ESTÁ EM PRODUÇÃO ) é a seguinte:Entre no bash:
sudo bash
Edite o arquivo /etc/apt/sources.list e apague todo o conteúdo que há nele. Depois adicione esses repositórios:
# main-updates deb http://ftp.br.debian.org/debian/ wheezy main contrib non-free deb http://ftp.br.debian.org/debian/ wheezy-updates main contrib non-free # security-updates deb http://security.debian.org/ wheezy/updates main contrib non-free
Após, execute os seguintes comandos:
apt-get update apt-get install --only-upgrade bash
ATENÇÃO: Não execute o upgrade completo do sistema, execute exatamente como está acima, caso contrário você corre o risco de ele não iniciar novamente e você terá que resetá-lo. Feito isso é só rebootar e executar o comando de novo para verificar. Você verá que a falha foi corrigida.
Lembrando que se você resetar o equipamento terá que atualizar novamente. Agora é esperar a versão oficial.