Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou
com gNewSense e com algumas dúvidas
Coloquei no terminal:
root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list:
deb http://ftp.at.debian.org/debian-backports/ squeeze-backports
main
deb http://ftp.de.debian.org/debian squeeze main
## LTS
deb http://http.debian.net/debian/ squeeze-lts main
deb-src http://http.debian.net/debian/ squeeze-lts main
deb http://http.debian.net/debian/ squeeze main
deb-src http://http.debian.net/debian/ squeeze main
deb http://http.debian.net/debian squeeze-lts main
deb-src http://http.debian.net/debian squeeze-lts main
# LTS
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# Line commented out by installer because it failed to verify:
deb http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# Line commented out by installer because it failed to verify:
deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install. The
following entries
# are provided as examples, but you should amend them as appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates main
deb http://backports.debian.org/debian-backports
squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports icedove-esr
# deb http://debian.net/debian experimental main
# deb http://mozilla.debian.net/ experimental iceweasel-beta
Então faço apt-get update e apt-get upgrade e ele me oferece
164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem
removidos e 46 não atualizados.
É preciso baixar 172 MB de arquivos.
Depois desta operação, 51,9 MB de espaço em disco serão liberados.
Posso e devo atualizar sem medo?
Como sempreatualizei o gNewSense, então posso ter atualizado para o
necessário antes. Como posso ver se o pacote instalado é o vulnerável,
como era possível ver o do OpenSSL?
Att.
On 22-03-2015 10:35, Rodrigo Cunha wrote:
> Srs, encontrei este erro no meu laboratorio com Debian 6.
> Li no facebook que isso é um bug do bash.O Shellshock, pensei em
> divulgar porque sei que existem muitos servidores que não tem uma
> atualização sistematica do S/O e como estamos com O debian 7.
> Segundo o texto que li, ele permite que via protocolos distintos podem
> ser enviados comandos remotos para o seu server/desktop.
>
>
> root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false'
> vulneravel
> root@DEB-TEST:~# cat /etc/issue
> Debian GNU/Linux 6.0 \n \l
>
> root@DEB-TEST:~# uname -a
> Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686
> GNU/Linux
> root@DEB-TEST:~#
>
>
> --
> Atenciosamente,
> Rodrigo da Silva Cunha
>
