El jue, 25-02-2016 a las 19:44 -0500, låzaro escribió: > tengo una buena soga para el por aquí.. porque no ha actualizado?? No > tiene liscenci para usar la nueva versión de debian????
> No seas asesino... que Debian no usa licencia ;-) Sí, ya sé que no te gusta Debian. Y a mí habría que azotarme en la plaza pública, con heraldos y todo gritando mi delito... mi estación de trabajo todavía anda por Debian 6.0. Pero tienes razón en algo: Paradix, por si acaso deberías verificar si esa versión tiene la vulnerabilidad del bash. Te cito más abajo un mensaje del amigo Michael sobre el tema. O si no, usar dash como Lázaro y Servilio sugirieron una vez. Fumero De: Michael González Medina <admin....@sanidadvegetal.cu> Reply-to: Lista cubana de soporte técnico en Tecnologias Libres <gutl-l@jovenclub.cu> Para: Lista cubana de soporte técnico en Tecnologias Libres <gutl-l@jovenclub.cu> Asunto: Re: [Gutl-l] Falla (SOLUCIONADO) Fecha: Wed, 01 Oct 2014 12:40:27 -0400 El 01/10/14 12:12, Michael González Medina escribió: > El 01/10/14 10:27, Msc. Carlos Pollán Estrada escribió: >> Colegas. >> Parace que al fin se solucionó la cosa. >> Apunté mi sources.list a http://http.debian.net/debian Luego aptitude >> update y apt-get install --only-upgrade bash >> y al ejecutar env x='() { :;}; echo vulnerable' bash -c "echo this is >> a test" >> solo me sale "this is a test" sin el "vulnerable" como antes salía. >> Salu2 y gracias a a todos, en especial a Hugo, de quien tomé la >> recomendación. >> >> > Carlos: > > Ya probaste ejecutar otras pruebas? como estas: > > > env X='() { (a)=>\' bash -c "echo date"; cat echo ; rm -f echo > > y > > env -i X=' () { }; echo hello' bash -c 'date' > > > si te devuelve al menos la fecha, aun sigues siendo vulnerable a otras > variantes de dicha falla, > > saludos, > Rectifico..!! ya va por 6 variantes diferentes: Exploit 1 (CVE-2014-6271) env x='() { :;}; echo vulnerable' bash -c "echo this is a test" Si en la salida de este comando ves "vulnerable" debes actualizar bash. Exploit 2 (CVE-2014-7169) env X='() { (shellshocker.net)=>\' bash -c "echo date"; cat echo; rm ./echo Si en la salida de este comando ves la fecha, aun eres vulnerable. Exploit 3 (???) env X=' () { }; echo hello' bash -c 'date' Si en la salida de este comando ves "hello" aun eres vulnerable. Exploit 4 (CVE-2014-7186) bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' || echo "CVE-2014-7186 vulnerable, redir_stack" Si en la salida de este comando ves el texto "CVE-2014-7186 vulnerable, redir_stack". aun eres vulnerable. Exploit 5 (CVE-2014-7187) (for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash || echo "CVE-2014-7187 vulnerable, word_lineno" Si en la salida de este comando ves el texto "CVE-2014-7187 vulnerable, word_lineno". aun eres vulnerable. Exploit 6 (CVE-2014-6278) shellshocker='() { echo You are vulnerable; }' bash -c shellshocker en la salida de este comando No debes ver "You are vulnerable" si tu sistema esta correctamente parcheado debes ver "bash: shellshocker: command not found" saludos, -- M.Sc. Alberto García Fumero Usuario Linux 97 138, registrado 10/12/1998 http://interese.cubava.cu Una conclusión es el punto en que usted se cansó de pensar. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
