[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [BUG]Shellshock

Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou com gNewSense e com algumas dúvidas

Coloquei no terminal:
root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel

Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list:
deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main
deb http://ftp.de.debian.org/debian squeeze main


## LTS
deb http://http.debian.net/debian/ squeeze-lts main
deb-src http://http.debian.net/debian/ squeeze-lts main

deb http://http.debian.net/debian/ squeeze main
deb-src http://http.debian.net/debian/ squeeze main

deb http://http.debian.net/debian squeeze-lts main
deb-src http://http.debian.net/debian squeeze-lts main
# LTS

# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main

# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main

# Line commented out by installer because it failed to verify:
deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main
# Line commented out by installer because it failed to verify:
deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main

# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install.  The following entries
# are provided as examples, but you should amend them as appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates main

deb http://backports.debian.org/debian-backports squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports icedove-esr
# deb http://debian.net/debian experimental main
# deb http://mozilla.debian.net/ experimental iceweasel-beta

Então faço apt-get update e apt-get upgrade e ele me oferece
164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos e 46 não atualizados.
É preciso baixar 172 MB de arquivos.
Depois desta operação, 51,9 MB de espaço em disco serão liberados.

Posso e devo atualizar sem medo?
Como sempreatualizei o gNewSense, então posso ter atualizado para o necessário antes. Como posso ver se o pacote instalado é o vulnerável, como era possível ver o do OpenSSL?

Att.

On 22-03-2015 10:35, Rodrigo Cunha wrote:
Srs, encontrei este erro no meu laboratorio com Debian 6.
Li no facebook que isso é um bug do bash.O Shellshock, pensei em divulgar porque sei que existem muitos servidores que não tem uma atualização sistematica do S/O e como estamos com O debian 7.
Segundo o texto que li, ele permite que via protocolos distintos podem ser enviados comandos remotos para o seu server/desktop.


root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false'
vulneravel
root@DEB-TEST:~# cat /etc/issue
Debian GNU/Linux 6.0 \n \l

root@DEB-TEST:~# uname -a
Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686 GNU/Linux
root@DEB-TEST:~#


--
Atenciosamente,
Rodrigo da Silva Cunha


Reply to: