en mi opinión, debian sigue siendo la mejor opción para los servidores....
Thread name: "Re: [Gutl-l] sobre inicio en un servidor" Mail number: 2 Date: Fri, Feb 26, 2016 In reply to: Alberto José García Fumero > > El jue, 25-02-2016 a las 19:44 -0500, låzaro escribió: > > tengo una buena soga para el por aquí.. porque no ha actualizado?? No > > tiene liscenci para usar la nueva versión de debian???? > > > > > No seas asesino... que Debian no usa licencia ;-) Sí, ya sé que no te > gusta Debian. > > Y a mí habría que azotarme en la plaza pública, con heraldos y todo > gritando mi delito... mi estación de trabajo todavía anda por Debian > 6.0. > > Pero tienes razón en algo: Paradix, por si acaso deberías verificar si > esa versión tiene la vulnerabilidad del bash. Te cito más abajo un > mensaje del amigo Michael sobre el tema. O si no, usar dash como Lázaro > y Servilio sugirieron una vez. > > Fumero > > > > De: Michael González Medina <admin....@sanidadvegetal.cu> > Reply-to: Lista cubana de soporte técnico en Tecnologias Libres > <gutl-l@jovenclub.cu> > Para: Lista cubana de soporte técnico en Tecnologias Libres > <gutl-l@jovenclub.cu> > Asunto: Re: [Gutl-l] Falla (SOLUCIONADO) > Fecha: Wed, 01 Oct 2014 12:40:27 -0400 > > > El 01/10/14 12:12, Michael González Medina escribió: > > El 01/10/14 10:27, Msc. Carlos Pollán Estrada escribió: > >> Colegas. > >> Parace que al fin se solucionó la cosa. > >> Apunté mi sources.list a http://http.debian.net/debian Luego > aptitude > >> update y apt-get install --only-upgrade bash > >> y al ejecutar env x='() { :;}; echo vulnerable' bash -c "echo this > is > >> a test" > >> solo me sale "this is a test" sin el "vulnerable" como antes salía. > >> Salu2 y gracias a a todos, en especial a Hugo, de quien tomé la > >> recomendación. > >> > >> > > Carlos: > > > > Ya probaste ejecutar otras pruebas? como estas: > > > > > > env X='() { (a)=>\' bash -c "echo date"; cat echo ; rm -f echo > > > > y > > > > env -i X=' () { }; echo hello' bash -c 'date' > > > > > > si te devuelve al menos la fecha, aun sigues siendo vulnerable a > otras > > variantes de dicha falla, > > > > saludos, > > > Rectifico..!! ya va por 6 variantes diferentes: > > Exploit 1 (CVE-2014-6271) > > env x='() { :;}; echo vulnerable' bash -c "echo this is a test" > > Si en la salida de este comando ves "vulnerable" debes actualizar > bash. > > Exploit 2 (CVE-2014-7169) > > env X='() { (shellshocker.net)=>\' bash -c "echo date"; cat echo; > rm ./echo > > Si en la salida de este comando ves la fecha, aun eres vulnerable. > > Exploit 3 (???) > > env X=' () { }; echo hello' bash -c 'date' > > Si en la salida de este comando ves "hello" aun eres vulnerable. > > Exploit 4 (CVE-2014-7186) > > bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF > <<EOF > <<EOF <<EOF <<EOF <<EOF <<EOF' || > echo "CVE-2014-7186 vulnerable, redir_stack" > > Si en la salida de este comando ves el texto "CVE-2014-7186 > vulnerable, redir_stack". aun eres vulnerable. > > Exploit 5 (CVE-2014-7187) > > (for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in > {1..200} ; do echo done ; done) | bash || > echo "CVE-2014-7187 vulnerable, word_lineno" > > Si en la salida de este comando ves el texto "CVE-2014-7187 > vulnerable, word_lineno". aun eres vulnerable. > > Exploit 6 (CVE-2014-6278) > > shellshocker='() { echo You are vulnerable; }' bash -c shellshocker > > en la salida de este comando No debes ver "You are vulnerable" si > tu sistema esta correctamente parcheado debes ver "bash: shellshocker: > command not found" > > saludos, > > > -- > M.Sc. Alberto García Fumero > Usuario Linux 97 138, registrado 10/12/1998 > http://interese.cubava.cu > Una conclusión es el punto en que usted se cansó de pensar. > > > > ______________________________________________________________________ > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > Gutl-l@jovenclub.cu > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l -- -------- Warning! ------------ 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
