Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou com gNewSense e com algumas dúvidas
Coloquei no terminal: root@root# env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list: deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main deb http://ftp.de.debian.org/debian squeeze main ## LTS deb http://http.debian.net/debian/ squeeze-lts main deb-src http://http.debian.net/debian/ squeeze-lts main deb http://http.debian.net/debian/ squeeze main deb-src http://http.debian.net/debian/ squeeze main deb http://http.debian.net/debian squeeze-lts main deb-src http://http.debian.net/debian squeeze-lts main # LTS # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # Line commented out by installer because it failed to verify: deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # Line commented out by installer because it failed to verify: deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # parkes-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/ parkes-updates main deb-src http://ftp.debian.org/debian/ parkes-updates main deb http://backports.debian.org/debian-backports squeeze-backports main deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr deb http://mozilla.debian.net/ squeeze-backports icedove-esr # deb http://debian.net/debian experimental main # deb http://mozilla.debian.net/ experimental iceweasel-beta Então faço apt-get update e apt-get upgrade e ele me oferece 164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos e 46 não atualizados. É preciso baixar 172 MB de arquivos. Depois desta operação, 51,9 MB de espaço em disco serão liberados. Posso e devo atualizar sem medo? Como sempreatualizei o gNewSense, então posso ter atualizado para o necessário antes. Como posso ver se o pacote instalado é o vulnerável, como era possível ver o do OpenSSL? Att. On 22-03-2015 10:35, Rodrigo Cunha wrote: > Srs, encontrei este erro no meu laboratorio com Debian 6. > Li no facebook que isso é um bug do bash.O Shellshock, pensei em > divulgar porque sei que existem muitos servidores que não tem uma > atualização sistematica do S/O e como estamos com O debian 7. > Segundo o texto que li, ele permite que via protocolos distintos podem > ser enviados comandos remotos para o seu server/desktop. > > > root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false' > vulneravel > root@DEB-TEST:~# cat /etc/issue > Debian GNU/Linux 6.0 \n \l > > root@DEB-TEST:~# uname -a > Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686 > GNU/Linux > root@DEB-TEST:~# > > > -- > Atenciosamente, > Rodrigo da Silva Cunha >