Olha isso
# bash --version
GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
<http://gnu.org/licenses/gpl.html>
This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
No repositório do gNewSense está como nenhum pacote para ser atualizado.
Como verifico a vulnerabilidade? Como posso saber se este bash está
vulnerável?
Att.
On 22-03-2015 13:32, Rodrigo Cunha wrote:
> O bash 4.1 > Tinha essa vulnerabilidade, fiz o upgrade para o 4.2.37 e
> agora não tem mais a vulnerabilidade.
> Fiquei curioso de como eu poderia explorar esta vulnerabilidade em meu
> ambiente de laboratorio para fins academicos, isso poderia render um
> bom artigo para a comunidade de SLivre, principalmente se
> conseguíssemos demostrar os perigos na pratica.
>
>
> Em 22 de março de 2015 13:28, Rodrigo Cunha <rodrigo.root...@gmail.com
> <mailto:rodrigo.root...@gmail.com>> escreveu:
>
> Solução,
> adicione os repositorios :
> deb http://ftp.br.debian.org/debian/ wheezy main
> deb-src http://ftp.br.debian.org/debian/ wheezy main
> Executei:
> sudo apt-get update
> sudo apt-get install --only-upgrade bash gcc-4.4
>
> Em 22 de março de 2015 13:26, P. J. <pjotam...@gmail.com
> <mailto:pjotam...@gmail.com>> escreveu:
>
> Que mistureba...
>
> Mas com relação ao bug veja qual versão do bash é a vulnerável
> e qual
> está instalada na sua máquina... assimo como os pacotes do
> referentes
> ao SSL... procure no google, sites com CVE's por exemplo, ou
> na parte
> de segurança do debian no seu site...
>
> [ ] 's
>
> Em 22/03/15, Thiago Zoroastro<thiago.zoroas...@bol.com.br
> <mailto:thiago.zoroas...@bol.com.br>> escreveu:
> > Obrigado ao Antonio Terceiro por lembrar que o Debian LTS
> existe. Estou
> > com gNewSense e com algumas dúvidas
> >
> > Coloquei no terminal:
> > root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
> > vulneravel
> > root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
> > unvulneravel
> > root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
> > unvulneravel
> >
> > Coloquei as linhas do Debian LTS sem contrib e non-free.
> Sources.list:
> >
> > deb http://ftp.at.debian.org/debian-backports/
> squeeze-backports
> > main
> > deb http://ftp.de.debian.org/debian squeeze main
> >
> >
> > ## LTS
> > deb http://http.debian.net/debian/ squeeze-lts main
> > deb-src http://http.debian.net/debian/ squeeze-lts main
> >
> > deb http://http.debian.net/debian/ squeeze main
> > deb-src http://http.debian.net/debian/ squeeze main
> >
> > deb http://http.debian.net/debian squeeze-lts main
> > deb-src http://http.debian.net/debian squeeze-lts main
> > # LTS
> >
> > # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386
> LIVE/INSTALL
> > Binary 20140205-19 <tel:20140205-19>:57]/ parkes main
> >
> > # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386
> LIVE/INSTALL
> > Binary 20140205-19 <tel:20140205-19>:57]/ parkes main
> >
> > # Line commented out by installer because it failed
> to verify:
> > deb
> http://archive.gnewsense.org/gnewsense-three/gnewsense
> > parkes-security main
> > # Line commented out by installer because it failed
> to verify:
> > deb-src
> http://archive.gnewsense.org/gnewsense-three/gnewsense
> > parkes-security main
> >
> > # parkes-updates, previously known as 'volatile'
> > # A network mirror was not selected during install. The
> > following entries
> > # are provided as examples, but you should amend them as
> > appropriate
> > # for your mirror of choice.
> > #
> > deb http://ftp.debian.org/debian/ parkes-updates main
> > deb-src http://ftp.debian.org/debian/ parkes-updates
> main
> >
> > deb http://backports.debian.org/debian-backports
> > squeeze-backports main
> > deb http://mozilla.debian.net/ squeeze-backports
> iceweasel-esr
> > deb http://mozilla.debian.net/ squeeze-backports
> icedove-esr
> > # deb http://debian.net/debian experimental main
> > # deb http://mozilla.debian.net/ experimental
> iceweasel-beta
> >
> >
> > Então faço apt-get update e apt-get upgrade e ele me oferece
> >
> > 164 pacotes atualizados, 0 pacotes novos instalados,
> 0 a serem
> > removidos e 46 não atualizados.
> > É preciso baixar 172 MB de arquivos.
> > Depois desta operação, 51,9 MB de espaço em disco
> serão liberados.
> >
> >
> > Posso e devo atualizar sem medo?
> > Como sempreatualizei o gNewSense, então posso ter atualizado
> para o
> > necessário antes. Como posso ver se o pacote instalado é o
> vulnerável,
> > como era possível ver o do OpenSSL?
> >
> > Att.
> >
> > On 22-03-2015 10:35, Rodrigo Cunha wrote:
> >> Srs, encontrei este erro no meu laboratorio com Debian 6.
> >> Li no facebook que isso é um bug do bash.O Shellshock,
> pensei em
> >> divulgar porque sei que existem muitos servidores que não
> tem uma
> >> atualização sistematica do S/O e como estamos com O debian 7.
> >> Segundo o texto que li, ele permite que via protocolos
> distintos podem
> >> ser enviados comandos remotos para o seu server/desktop.
> >>
> >>
> >> root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c
> 'false'
> >> vulneravel
> >> root@DEB-TEST:~# cat /etc/issue
> >> Debian GNU/Linux 6.0 \n \l
> >>
> >> root@DEB-TEST:~# uname -a
> >> Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC
> 2014 i686
> >> GNU/Linux
> >> root@DEB-TEST:~#
> >>
> >>
> >> --
> >> Atenciosamente,
> >> Rodrigo da Silva Cunha
> >>
> >
> >
>
>
> --
> | .''`. A fé não dá respostas. Só impede perguntas.
> | : :' :
> | `. `'`
> | `- Je vois tout
>
>
> --
> To UNSUBSCRIBE, email to
> debian-user-portuguese-requ...@lists.debian.org
> <mailto:debian-user-portuguese-requ...@lists.debian.org>
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org <mailto:listmas...@lists.debian.org>
> Archive:
>
> https://lists.debian.org/cacnf0pjnzdgcwu1h-_gv_rfdymrf80kmhbqudykkssqujep...@mail.gmail.com
>
>
>
>
> --
> Atenciosamente,
> Rodrigo da Silva Cunha
>
>
>
>
> --
> Atenciosamente,
> Rodrigo da Silva Cunha
>
