Re: [BUG]Shellshock
quem tem servidor web com cgi-bin publico precisa atualizar o seu sistema .
tem esse script que você pode usa-lo
https://shellshocker.net/
On 22-03-2015 13:28, Rodrigo Cunha wrote:
Solução,
adicione os repositorios :
deb http://ftp.br.debian.org/debian/ wheezy main
deb-src http://ftp.br.debian.org/debian/ wheezy main
Executei:
sudo apt-get update
sudo apt-get install --only-upgrade bash gcc-4.4
Em 22 de março de 2015 13:26, P. J. pjotam...@gmail.com
mailto:pjotam...@gmail.com escreveu:
Que mistureba...
Mas com relação ao bug veja qual versão do bash é a vulnerável e qual
está instalada na sua máquina... assimo como os pacotes do referentes
ao SSL... procure no google, sites com CVE's por exemplo, ou na parte
de segurança do debian no seu site...
[ ] 's
Em 22/03/15, Thiago Zoroastrothiago.zoroas...@bol.com.br
mailto:thiago.zoroas...@bol.com.br escreveu:
Obrigado ao Antonio Terceiro por lembrar que o Debian LTS
existe. Estou
com gNewSense e com algumas dúvidas
Coloquei no terminal:
root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
Coloquei as linhas do Debian LTS sem contrib e non-free.
Sources.list:
deb http://ftp.at.debian.org/debian-backports/
squeeze-backports
main
deb http://ftp.de.debian.org/debian squeeze main
## LTS
deb http://http.debian.net/debian/ squeeze-lts main
deb-src http://http.debian.net/debian/ squeeze-lts main
deb http://http.debian.net/debian/ squeeze main
deb-src http://http.debian.net/debian/ squeeze main
deb http://http.debian.net/debian squeeze-lts main
deb-src http://http.debian.net/debian squeeze-lts main
# LTS
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386
LIVE/INSTALL
Binary 20140205-19 tel:20140205-19:57]/ parkes main
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386
LIVE/INSTALL
Binary 20140205-19 tel:20140205-19:57]/ parkes main
# Line commented out by installer because it failed to
verify:
deb http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# Line commented out by installer because it failed to
verify:
deb-src
http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install. The
following entries
# are provided as examples, but you should amend them as
appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates main
deb http://backports.debian.org/debian-backports
squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports
iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports icedove-esr
# deb http://debian.net/debian experimental main
# deb http://mozilla.debian.net/ experimental iceweasel-beta
Então faço apt-get update e apt-get upgrade e ele me oferece
164 pacotes atualizados, 0 pacotes novos instalados, 0 a
serem
removidos e 46 não atualizados.
É preciso baixar 172 MB de arquivos.
Depois desta operação, 51,9 MB de espaço em disco serão
liberados.
Posso e devo atualizar sem medo?
Como sempreatualizei o gNewSense, então posso ter atualizado para o
necessário antes. Como posso ver se o pacote instalado é o
vulnerável,
como era possível ver o do OpenSSL?
Att.
On 22-03-2015 10:35, Rodrigo Cunha wrote:
Srs, encontrei este erro no meu laboratorio com Debian 6.
Li no facebook que isso é um bug do bash.O Shellshock, pensei em
divulgar porque sei que existem muitos servidores que não tem uma
atualização sistematica do S/O e como estamos com O debian 7.
Segundo o texto que li, ele permite que via protocolos
distintos podem
ser enviados comandos remotos para o seu server/desktop.
root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false'
vulneravel
root@DEB-TEST:~# cat /etc/issue
Debian GNU/Linux 6.0 \n \l
root@DEB-TEST:~# uname -a
Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014
i686
GNU/Linux
root@DEB-TEST:~#
--
Atenciosamente,
Rodrigo da Silva Cunha
Re: [BUG]Shellshock
O bash 4.1 Tinha essa vulnerabilidade, fiz o upgrade para o 4.2.37 e
agora não tem mais a vulnerabilidade.
Fiquei curioso de como eu poderia explorar esta vulnerabilidade em meu
ambiente de laboratorio para fins academicos, isso poderia render um bom
artigo para a comunidade de SLivre, principalmente se conseguíssemos
demostrar os perigos na pratica.
Em 22 de março de 2015 13:28, Rodrigo Cunha rodrigo.root...@gmail.com
escreveu:
Solução,
adicione os repositorios :
deb http://ftp.br.debian.org/debian/ wheezy main
deb-src http://ftp.br.debian.org/debian/ wheezy main
Executei:
sudo apt-get update
sudo apt-get install --only-upgrade bash gcc-4.4
Em 22 de março de 2015 13:26, P. J. pjotam...@gmail.com escreveu:
Que mistureba...
Mas com relação ao bug veja qual versão do bash é a vulnerável e qual
está instalada na sua máquina... assimo como os pacotes do referentes
ao SSL... procure no google, sites com CVE's por exemplo, ou na parte
de segurança do debian no seu site...
[ ] 's
Em 22/03/15, Thiago Zoroastrothiago.zoroas...@bol.com.br escreveu:
Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou
com gNewSense e com algumas dúvidas
Coloquei no terminal:
root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list:
deb http://ftp.at.debian.org/debian-backports/
squeeze-backports
main
deb http://ftp.de.debian.org/debian squeeze main
## LTS
deb http://http.debian.net/debian/ squeeze-lts main
deb-src http://http.debian.net/debian/ squeeze-lts main
deb http://http.debian.net/debian/ squeeze main
deb-src http://http.debian.net/debian/ squeeze main
deb http://http.debian.net/debian squeeze-lts main
deb-src http://http.debian.net/debian squeeze-lts main
# LTS
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# Line commented out by installer because it failed to verify:
deb http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# Line commented out by installer because it failed to verify:
deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install. The
following entries
# are provided as examples, but you should amend them as
appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates main
deb http://backports.debian.org/debian-backports
squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports icedove-esr
# deb http://debian.net/debian experimental main
# deb http://mozilla.debian.net/ experimental iceweasel-beta
Então faço apt-get update e apt-get upgrade e ele me oferece
164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem
removidos e 46 não atualizados.
É preciso baixar 172 MB de arquivos.
Depois desta operação, 51,9 MB de espaço em disco serão
liberados.
Posso e devo atualizar sem medo?
Como sempreatualizei o gNewSense, então posso ter atualizado para o
necessário antes. Como posso ver se o pacote instalado é o vulnerável,
como era possível ver o do OpenSSL?
Att.
On 22-03-2015 10:35, Rodrigo Cunha wrote:
Srs, encontrei este erro no meu laboratorio com Debian 6.
Li no facebook que isso é um bug do bash.O Shellshock, pensei em
divulgar porque sei que existem muitos servidores que não tem uma
atualização sistematica do S/O e como estamos com O debian 7.
Segundo o texto que li, ele permite que via protocolos distintos podem
ser enviados comandos remotos para o seu server/desktop.
root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false'
vulneravel
root@DEB-TEST:~# cat /etc/issue
Debian GNU/Linux 6.0 \n \l
root@DEB-TEST:~# uname -a
Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686
GNU/Linux
root@DEB-TEST:~#
--
Atenciosamente,
Rodrigo da Silva Cunha
--
| .''`. A fé não dá respostas. Só impede perguntas.
| : :' :
| `. `'`
| `- Je vois tout
--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of
Re: [BUG]Shellshock
Olha isso
# bash --version
GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
http://gnu.org/licenses/gpl.html
This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
No repositório do gNewSense está como nenhum pacote para ser atualizado.
Como verifico a vulnerabilidade? Como posso saber se este bash está
vulnerável?
Att.
On 22-03-2015 13:32, Rodrigo Cunha wrote:
O bash 4.1 Tinha essa vulnerabilidade, fiz o upgrade para o 4.2.37 e
agora não tem mais a vulnerabilidade.
Fiquei curioso de como eu poderia explorar esta vulnerabilidade em meu
ambiente de laboratorio para fins academicos, isso poderia render um
bom artigo para a comunidade de SLivre, principalmente se
conseguíssemos demostrar os perigos na pratica.
Em 22 de março de 2015 13:28, Rodrigo Cunha rodrigo.root...@gmail.com
mailto:rodrigo.root...@gmail.com escreveu:
Solução,
adicione os repositorios :
deb http://ftp.br.debian.org/debian/ wheezy main
deb-src http://ftp.br.debian.org/debian/ wheezy main
Executei:
sudo apt-get update
sudo apt-get install --only-upgrade bash gcc-4.4
Em 22 de março de 2015 13:26, P. J. pjotam...@gmail.com
mailto:pjotam...@gmail.com escreveu:
Que mistureba...
Mas com relação ao bug veja qual versão do bash é a vulnerável
e qual
está instalada na sua máquina... assimo como os pacotes do
referentes
ao SSL... procure no google, sites com CVE's por exemplo, ou
na parte
de segurança do debian no seu site...
[ ] 's
Em 22/03/15, Thiago Zoroastrothiago.zoroas...@bol.com.br
mailto:thiago.zoroas...@bol.com.br escreveu:
Obrigado ao Antonio Terceiro por lembrar que o Debian LTS
existe. Estou
com gNewSense e com algumas dúvidas
Coloquei no terminal:
root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
Coloquei as linhas do Debian LTS sem contrib e non-free.
Sources.list:
deb http://ftp.at.debian.org/debian-backports/
squeeze-backports
main
deb http://ftp.de.debian.org/debian squeeze main
## LTS
deb http://http.debian.net/debian/ squeeze-lts main
deb-src http://http.debian.net/debian/ squeeze-lts main
deb http://http.debian.net/debian/ squeeze main
deb-src http://http.debian.net/debian/ squeeze main
deb http://http.debian.net/debian squeeze-lts main
deb-src http://http.debian.net/debian squeeze-lts main
# LTS
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386
LIVE/INSTALL
Binary 20140205-19 tel:20140205-19:57]/ parkes main
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386
LIVE/INSTALL
Binary 20140205-19 tel:20140205-19:57]/ parkes main
# Line commented out by installer because it failed
to verify:
deb
http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# Line commented out by installer because it failed
to verify:
deb-src
http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install. The
following entries
# are provided as examples, but you should amend them as
appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates
main
deb http://backports.debian.org/debian-backports
squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports
iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports
icedove-esr
# deb http://debian.net/debian experimental main
# deb http://mozilla.debian.net/ experimental
iceweasel-beta
Então faço apt-get update e apt-get upgrade e ele
Re: [BUG]Shellshock
Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou
com gNewSense e com algumas dúvidas
Coloquei no terminal:
root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list:
deb http://ftp.at.debian.org/debian-backports/ squeeze-backports
main
deb http://ftp.de.debian.org/debian squeeze main
## LTS
deb http://http.debian.net/debian/ squeeze-lts main
deb-src http://http.debian.net/debian/ squeeze-lts main
deb http://http.debian.net/debian/ squeeze main
deb-src http://http.debian.net/debian/ squeeze main
deb http://http.debian.net/debian squeeze-lts main
deb-src http://http.debian.net/debian squeeze-lts main
# LTS
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# Line commented out by installer because it failed to verify:
deb http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# Line commented out by installer because it failed to verify:
deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install. The
following entries
# are provided as examples, but you should amend them as appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates main
deb http://backports.debian.org/debian-backports
squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports icedove-esr
# deb http://debian.net/debian experimental main
# deb http://mozilla.debian.net/ experimental iceweasel-beta
Então faço apt-get update e apt-get upgrade e ele me oferece
164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem
removidos e 46 não atualizados.
É preciso baixar 172 MB de arquivos.
Depois desta operação, 51,9 MB de espaço em disco serão liberados.
Posso e devo atualizar sem medo?
Como sempreatualizei o gNewSense, então posso ter atualizado para o
necessário antes. Como posso ver se o pacote instalado é o vulnerável,
como era possível ver o do OpenSSL?
Att.
On 22-03-2015 10:35, Rodrigo Cunha wrote:
Srs, encontrei este erro no meu laboratorio com Debian 6.
Li no facebook que isso é um bug do bash.O Shellshock, pensei em
divulgar porque sei que existem muitos servidores que não tem uma
atualização sistematica do S/O e como estamos com O debian 7.
Segundo o texto que li, ele permite que via protocolos distintos podem
ser enviados comandos remotos para o seu server/desktop.
root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false'
vulneravel
root@DEB-TEST:~# cat /etc/issue
Debian GNU/Linux 6.0 \n \l
root@DEB-TEST:~# uname -a
Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686
GNU/Linux
root@DEB-TEST:~#
--
Atenciosamente,
Rodrigo da Silva Cunha
Re: [BUG]Shellshock
Que mistureba...
Mas com relação ao bug veja qual versão do bash é a vulnerável e qual
está instalada na sua máquina... assimo como os pacotes do referentes
ao SSL... procure no google, sites com CVE's por exemplo, ou na parte
de segurança do debian no seu site...
[ ] 's
Em 22/03/15, Thiago Zoroastrothiago.zoroas...@bol.com.br escreveu:
Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou
com gNewSense e com algumas dúvidas
Coloquei no terminal:
root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list:
deb http://ftp.at.debian.org/debian-backports/ squeeze-backports
main
deb http://ftp.de.debian.org/debian squeeze main
## LTS
deb http://http.debian.net/debian/ squeeze-lts main
deb-src http://http.debian.net/debian/ squeeze-lts main
deb http://http.debian.net/debian/ squeeze main
deb-src http://http.debian.net/debian/ squeeze main
deb http://http.debian.net/debian squeeze-lts main
deb-src http://http.debian.net/debian squeeze-lts main
# LTS
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# Line commented out by installer because it failed to verify:
deb http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# Line commented out by installer because it failed to verify:
deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install. The
following entries
# are provided as examples, but you should amend them as
appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates main
deb http://backports.debian.org/debian-backports
squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports icedove-esr
# deb http://debian.net/debian experimental main
# deb http://mozilla.debian.net/ experimental iceweasel-beta
Então faço apt-get update e apt-get upgrade e ele me oferece
164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem
removidos e 46 não atualizados.
É preciso baixar 172 MB de arquivos.
Depois desta operação, 51,9 MB de espaço em disco serão liberados.
Posso e devo atualizar sem medo?
Como sempreatualizei o gNewSense, então posso ter atualizado para o
necessário antes. Como posso ver se o pacote instalado é o vulnerável,
como era possível ver o do OpenSSL?
Att.
On 22-03-2015 10:35, Rodrigo Cunha wrote:
Srs, encontrei este erro no meu laboratorio com Debian 6.
Li no facebook que isso é um bug do bash.O Shellshock, pensei em
divulgar porque sei que existem muitos servidores que não tem uma
atualização sistematica do S/O e como estamos com O debian 7.
Segundo o texto que li, ele permite que via protocolos distintos podem
ser enviados comandos remotos para o seu server/desktop.
root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false'
vulneravel
root@DEB-TEST:~# cat /etc/issue
Debian GNU/Linux 6.0 \n \l
root@DEB-TEST:~# uname -a
Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686
GNU/Linux
root@DEB-TEST:~#
--
Atenciosamente,
Rodrigo da Silva Cunha
--
| .''`. A fé não dá respostas. Só impede perguntas.
| : :' :
| `. `'`
| `- Je vois tout
--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive:
https://lists.debian.org/cacnf0pjnzdgcwu1h-_gv_rfdymrf80kmhbqudykkssqujep...@mail.gmail.com
Re: [BUG]Shellshock
Solução,
adicione os repositorios :
deb http://ftp.br.debian.org/debian/ wheezy main
deb-src http://ftp.br.debian.org/debian/ wheezy main
Executei:
sudo apt-get update
sudo apt-get install --only-upgrade bash gcc-4.4
Em 22 de março de 2015 13:26, P. J. pjotam...@gmail.com escreveu:
Que mistureba...
Mas com relação ao bug veja qual versão do bash é a vulnerável e qual
está instalada na sua máquina... assimo como os pacotes do referentes
ao SSL... procure no google, sites com CVE's por exemplo, ou na parte
de segurança do debian no seu site...
[ ] 's
Em 22/03/15, Thiago Zoroastrothiago.zoroas...@bol.com.br escreveu:
Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou
com gNewSense e com algumas dúvidas
Coloquei no terminal:
root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list:
deb http://ftp.at.debian.org/debian-backports/ squeeze-backports
main
deb http://ftp.de.debian.org/debian squeeze main
## LTS
deb http://http.debian.net/debian/ squeeze-lts main
deb-src http://http.debian.net/debian/ squeeze-lts main
deb http://http.debian.net/debian/ squeeze main
deb-src http://http.debian.net/debian/ squeeze main
deb http://http.debian.net/debian squeeze-lts main
deb-src http://http.debian.net/debian squeeze-lts main
# LTS
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# Line commented out by installer because it failed to verify:
deb http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# Line commented out by installer because it failed to verify:
deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install. The
following entries
# are provided as examples, but you should amend them as
appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates main
deb http://backports.debian.org/debian-backports
squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports icedove-esr
# deb http://debian.net/debian experimental main
# deb http://mozilla.debian.net/ experimental iceweasel-beta
Então faço apt-get update e apt-get upgrade e ele me oferece
164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem
removidos e 46 não atualizados.
É preciso baixar 172 MB de arquivos.
Depois desta operação, 51,9 MB de espaço em disco serão
liberados.
Posso e devo atualizar sem medo?
Como sempreatualizei o gNewSense, então posso ter atualizado para o
necessário antes. Como posso ver se o pacote instalado é o vulnerável,
como era possível ver o do OpenSSL?
Att.
On 22-03-2015 10:35, Rodrigo Cunha wrote:
Srs, encontrei este erro no meu laboratorio com Debian 6.
Li no facebook que isso é um bug do bash.O Shellshock, pensei em
divulgar porque sei que existem muitos servidores que não tem uma
atualização sistematica do S/O e como estamos com O debian 7.
Segundo o texto que li, ele permite que via protocolos distintos podem
ser enviados comandos remotos para o seu server/desktop.
root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false'
vulneravel
root@DEB-TEST:~# cat /etc/issue
Debian GNU/Linux 6.0 \n \l
root@DEB-TEST:~# uname -a
Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686
GNU/Linux
root@DEB-TEST:~#
--
Atenciosamente,
Rodrigo da Silva Cunha
--
| .''`. A fé não dá respostas. Só impede perguntas.
| : :' :
| `. `'`
| `- Je vois tout
--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact
listmas...@lists.debian.org
Archive:
https://lists.debian.org/cacnf0pjnzdgcwu1h-_gv_rfdymrf80kmhbqudykkssqujep...@mail.gmail.com
--
Atenciosamente,
Rodrigo da Silva Cunha
[SOLVED] Re: [BUG]Shellshock
* Retirei linhas duplicadas que acabei colocando no sources.list quando
copiei o que estava nas páginas do Debian-LTS;
* Apliquei # apt-get update apt-get install bash (gcc-4.4 já estava
instalado)
* Agora o comando que o Rodrigo Cunha apresentou não retorna mais a
resposta de 'vulneravel' nem outras respostas quando mudo o comando.
Resolvido o problema que ele alertou. Aliás, já havia ouvido falar do
shellshock, mas ainda não tinha seguido a solução, embora estivesse
atualizando o gNewSense regularmente.
Obrigado,
Att.
On 22-03-2015 15:10, Rodrigo Cunha wrote:
Na verdade você alterou apenas a string texto da linha, a função
desta string, neste contexto.É informar um resultado obtido através de
um teste.
env x='() { :;};
Ele depende do resultado desta parte da linha para executar ou não o
echo vulneravel'
Em 22 de março de 2015 15:02, Thiago Zoroastro
thiago.zoroas...@bol.com.br mailto:thiago.zoroas...@bol.com.br
escreveu:
Sim eu havia feito isso desde que você havia colocado esta linha.
Daí coloquei na lista com 'unvulneravel' e ele sai 'unvulneravel'.
Quer dizer, ele sai o que você colocar ali
É claro que com 'vulneravel' e ele aparece 'vulneravel'. Vou
colocar denovo:
# env x='() { :;}; echo vulneravel' bash -c 'false'
vulneravel
# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
Sou bastante leigo, mas duvido de muita coisa, então eu testo
antes de tirar conclusões. Porque é que ele seria vulneravel se
trocar a palavra, troca o 'resultado' também?
Se bem que você deve ter atualizado e colocado o mesmo comando e
saiu um 'resultado' diferente. Desculpa a teimosia.
Thiago Zoroastro
www.participa.br/thiagozoroastro
http://www.participa.br/thiagozoroastro
www.blogoosfero.cc/thiagozoroastro
http://www.blogoosfero.cc/thiagozoroastro
*De:* rodrigo.root...@gmail.com mailto:rodrigo.root...@gmail.com
*Enviada:* Domingo, 22 de Março de 2015 14:49
*Para:* thiago.zoroas...@bol.com.br
mailto:thiago.zoroas...@bol.com.br
*Assunto:* [BUG]Shellshock
Joga essa linha de comando no sei bash :
env x='() { :;}; echo vulneravel' bash -c 'false'
Se o output for :
vulneravel
Você está com o bash bugado.
Em 22 de março de 2015 14:33, Thiago Zoroastro
thiago.zoroas...@bol.com.br
http://../../../undefined//compose?to=thiago.zoroas...@bol.com.br
escreveu:
Olha isso
# bash --version
GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
http://gnu.org/licenses/gpl.html
http://gnu.org/licenses/gpl.html
This is free software; you are free to change and
redistribute it.
There is NO WARRANTY, to the extent permitted by law.
No repositório do gNewSense está como nenhum pacote para ser
atualizado. Como verifico a vulnerabilidade? Como posso saber
se este bash está vulnerável?
Att.
On 22-03-2015 13:32, Rodrigo Cunha wrote:
O bash 4.1 Tinha essa vulnerabilidade, fiz o upgrade
para o 4.2.37 e agora não tem mais a vulnerabilidade.
Fiquei curioso de como eu poderia explorar esta
vulnerabilidade em meu ambiente de laboratorio para fins
academicos, isso poderia render um bom artigo para a
comunidade de SLivre, principalmente se conseguíssemos
demostrar os perigos na pratica.
Em 22 de março de 2015 13:28, Rodrigo Cunha
rodrigo.root...@gmail.com
http://../../../undefined//compose?to=rodrigo.root...@gmail.com
escreveu:
Solução,
adicione os repositorios :
deb http://ftp.br.debian.org/debian/ wheezy main
deb-src http://ftp.br.debian.org/debian/ wheezy main
Executei:
sudo apt-get update
sudo apt-get install --only-upgrade bash gcc-4.4
Em 22 de março de 2015 13:26, P. J.
pjotam...@gmail.com
http://../../../undefined//compose?to=pjotam...@gmail.comescreveu:
Que mistureba...
Mas com relação ao bug veja qual versão do bash é
a vulnerável e qual
está instalada na sua máquina... assimo como os
pacotes do referentes
Re: [SOLVED] Re: [BUG]Shellshock
Valeu por mais esta dica do site shelshocker.net
Se não tiver o curl instalado, como foi aqui, é só instalar
# apt-get install curl
Teste:
# curl https://shellshocker.net/shellshock_test.sh | bash
% Total% Received % Xferd Average Speed TimeTime Time
Current
Dload Upload Total SpentLeft
Speed
100 2632 100 26320 0898 0 0:00:02 0:00:02
--:--:-- 917
CVE-2014-6271 (original shellshock): not vulnerable
CVE-2014-6277 (segfault): not vulnerable
CVE-2014-6278 (Florian's patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable
CVE-2014- (exploit 3 on http://shellshocker.net/): not vulnerable
On 22-03-2015 16:27, Roberval Lustosa wrote:
Esse site ajuda bastante.
https://shellshocker.net/
Em 22/03/2015 16:22, Thiago Zoroastro thiago.zoroas...@bol.com.br
mailto:thiago.zoroas...@bol.com.br escreveu:
* Retirei linhas duplicadas que acabei colocando no sources.list
quando copiei o que estava nas páginas do Debian-LTS;
* Apliquei # apt-get update apt-get install bash (gcc-4.4 já
estava instalado)
* Agora o comando que o Rodrigo Cunha apresentou não retorna mais
a resposta de 'vulneravel' nem outras respostas quando mudo o comando.
Resolvido o problema que ele alertou. Aliás, já havia ouvido falar
do shellshock, mas ainda não tinha seguido a solução, embora
estivesse atualizando o gNewSense regularmente.
Obrigado,
Att.
On 22-03-2015 15:10, Rodrigo Cunha wrote:
Na verdade você alterou apenas a string texto da linha, a
função desta string, neste contexto.É informar um resultado
obtido através de um teste.
env x='() { :;};
Ele depende do resultado desta parte da linha para executar ou
não o echo vulneravel'
Em 22 de março de 2015 15:02, Thiago Zoroastro
thiago.zoroas...@bol.com.br
mailto:thiago.zoroas...@bol.com.br escreveu:
Sim eu havia feito isso desde que você havia colocado esta linha.
Daí coloquei na lista com 'unvulneravel' e ele sai
'unvulneravel'. Quer dizer, ele sai o que você colocar ali
É claro que com 'vulneravel' e ele aparece 'vulneravel'. Vou
colocar denovo:
# env x='() { :;}; echo vulneravel' bash -c 'false'
vulneravel
# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
Sou bastante leigo, mas duvido de muita coisa, então eu testo
antes de tirar conclusões. Porque é que ele seria vulneravel
se trocar a palavra, troca o 'resultado' também?
Se bem que você deve ter atualizado e colocado o mesmo
comando e saiu um 'resultado' diferente. Desculpa a teimosia.
Thiago Zoroastro
www.participa.br/thiagozoroastro
http://www.participa.br/thiagozoroastro
www.blogoosfero.cc/thiagozoroastro
http://www.blogoosfero.cc/thiagozoroastro
*De:* rodrigo.root...@gmail.com
mailto:rodrigo.root...@gmail.com
*Enviada:* Domingo, 22 de Março de 2015 14:49
*Para:* thiago.zoroas...@bol.com.br
mailto:thiago.zoroas...@bol.com.br
*Assunto:* [BUG]Shellshock
Joga essa linha de comando no sei bash :
env x='() { :;}; echo vulneravel' bash -c 'false'
Se o output for :
vulneravel
Você está com o bash bugado.
Em 22 de março de 2015 14:33, Thiago Zoroastro
thiago.zoroas...@bol.com.br
http://../../../undefined//compose?to=thiago.zoroas...@bol.com.br
escreveu:
Olha isso
# bash --version
GNU bash, version 4.1.5(1)-release
(i486-pc-linux-gnu)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later
http://gnu.org/licenses/gpl.html
http://gnu.org/licenses/gpl.html
This is free software; you are free to change and
redistribute it.
There is NO WARRANTY, to the extent permitted by law.
No repositório do gNewSense está como nenhum pacote para
ser atualizado. Como verifico a vulnerabilidade? Como
posso saber se este bash está vulnerável?
Att.
On 22-03-2015 13:32, Rodrigo Cunha wrote:
O bash 4.1 Tinha essa vulnerabilidade, fiz o
Re: [BUG]Shellshock
On Sun, Mar 22, 2015 at 01:04:40PM -0300, Thiago Zoroastro wrote:
Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou
com gNewSense e com algumas dúvidas
Coloquei no terminal:
root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list:
deb http://ftp.at.debian.org/debian-backports/ squeeze-backports
main
deb http://ftp.de.debian.org/debian squeeze main
## LTS
deb http://http.debian.net/debian/ squeeze-lts main
deb-src http://http.debian.net/debian/ squeeze-lts main
deb http://http.debian.net/debian/ squeeze main
deb-src http://http.debian.net/debian/ squeeze main
deb http://http.debian.net/debian squeeze-lts main
deb-src http://http.debian.net/debian squeeze-lts main
# LTS
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# Line commented out by installer because it failed to verify:
deb http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# Line commented out by installer because it failed to verify:
deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install. The
following entries
# are provided as examples, but you should amend them as appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates main
deb http://backports.debian.org/debian-backports
squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports icedove-esr
# deb http://debian.net/debian experimental main
# deb http://mozilla.debian.net/ experimental iceweasel-beta
Então faço apt-get update e apt-get upgrade e ele me oferece
164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem
removidos e 46 não atualizados.
É preciso baixar 172 MB de arquivos.
Depois desta operação, 51,9 MB de espaço em disco serão liberados.
Posso e devo atualizar sem medo?
com esse sources.list desse jeito, você provavemente vai ter muitos
problemas. Não se mistura repositórios de sistemas diferentes.
--
Antonio Terceiro terce...@debian.org
signature.asc
Description: Digital signature
Re: [BUG]Shellshock
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Sir,
É claro que bugaria. Às vezes coloco algumas linhas diferentes da
família Debian e coloco # apt-get upgrade para ver quais pacotes
precisariam ser atualizados. Na maioria das vezes nem é possível ou não
faço. Como neste que uso é gNewSense, tomo cuidado para instalar apenas
livres..
Percebi que as linhas estavam duplicadas e tirei. Fiz o # apt-get update
apenas para instalar o bash não vulnerável. Mas fiquei com vontade de
ter feito os comandos do https://shelshocker.net ANTES de ter
atualizado, para ver se apontaria a vulnerabilidade.
Jamais seria possível atualizar todos aqueles pacotes. No momento julgo
que a mensagem foi até desnecessária, tenho tentado falar menos. Porque
falar menos tem menos chance equivocar-me. Tanto é que assisto todas
aquelas listas. É possível atualizar SOMENTE o bash e depois comentar a
linha do Debian-LTS.
Este é o sources.list atual:
deb http://ftp.at.debian.org/debian-backports/ squeeze-backports
main
deb http://ftp.de.debian.org/debian squeeze main
## LTS
# deb http://http.debian.net/debian/ squeeze-lts main
# deb-src http://http.debian.net/debian/ squeeze-lts main
# LTS
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# Line commented out by installer because it failed to verify:
deb http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# Line commented out by installer because it failed to verify:
deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install. The
following entries
# are provided as examples, but you should amend them as appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates main
deb http://backports.debian.org/debian-backports
squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports icedove-esr
On 22-03-2015 19:26, Antonio Terceiro wrote:
On Sun, Mar 22, 2015 at 01:04:40PM -0300, Thiago Zoroastro wrote:
Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou
com gNewSense e com algumas dúvidas
Coloquei no terminal:
root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list:
deb http://ftp.at.debian.org/debian-backports/ squeeze-backports
main
deb http://ftp.de.debian.org/debian squeeze main
## LTS
deb http://http.debian.net/debian/ squeeze-lts main
deb-src http://http.debian.net/debian/ squeeze-lts main
deb http://http.debian.net/debian/ squeeze main
deb-src http://http.debian.net/debian/ squeeze main
deb http://http.debian.net/debian squeeze-lts main
deb-src http://http.debian.net/debian squeeze-lts main
# LTS
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
Binary 20140205-19:57]/ parkes main
# Line commented out by installer because it failed to verify:
deb http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# Line commented out by installer because it failed to verify:
deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
parkes-security main
# parkes-updates, previously known as 'volatile'
# A network mirror was not selected during install. The
following entries
# are provided as examples, but you should amend them as
appropriate
# for your mirror of choice.
#
deb http://ftp.debian.org/debian/ parkes-updates main
deb-src http://ftp.debian.org/debian/ parkes-updates main
deb http://backports.debian.org/debian-backports
squeeze-backports main
deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
deb http://mozilla.debian.net/ squeeze-backports icedove-esr
# deb http://debian.net/debian experimental main
# deb http://mozilla.debian.net/ experimental iceweasel-beta
Então faço apt-get update e apt-get upgrade e ele me oferece
164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem
removidos
Re: [BUG]Shellshock
On Sun, Mar 22, 2015 at 09:23:34PM -0300, Thiago Zoroastro wrote: Sir, É claro que bugaria. Às vezes coloco algumas linhas diferentes da família Debian e coloco # apt-get upgrade para ver quais pacotes precisariam ser atualizados. Na maioria das vezes nem é possível ou não faço. Como neste que uso é gNewSense, tomo cuidado para instalar apenas livres.. Percebi que as linhas estavam duplicadas e tirei. O problema não é ter linhas duplicadas, isso só faz seu `apt-get update` ficar mais lento, mas não vai causar problemas. O problema é misturar pacotes de distribuições diferentes. *Muitas* coisas podem ser diferentes entre os sistemas, e eventualmente você *vai* ter problemas. Fiz o # apt-get update apenas para instalar o bash não vulnerável. Mas fiquei com vontade de ter feito os comandos do https://shelshocker.net ANTES de ter atualizado, para ver se apontaria a vulnerabilidade. Jamais seria possível atualizar todos aqueles pacotes. No momento julgo que a mensagem foi até desnecessária, tenho tentado falar menos. Porque falar menos tem menos chance equivocar-me. Tanto é que assisto todas aquelas listas. É possível atualizar SOMENTE o bash e depois comentar a linha do Debian-LTS. Eu acho muito difícil que o gNewSense não tenha atualizações de segurança dele próprio. Se realmente não tiver, você deveria procurar outro sistema, ou procurar ajuda sobre o gNewSense numa lista do gNewSense. -- Antonio Terceiro terce...@debian.org signature.asc Description: Digital signature
Re: [BUG]Shellshock
Aviso: (...) "The mail server responded: 4.7.1 deb...
Não foi possível enviar pelo Icedove.
Em meus computadores eu faço testes. No momento estou usando um Kaiana beta em dois notebooks (pessoal e um somente de testes). Já tive experiências falhas com pacotes, estou habituado a instalar o que for que eu preciso usar.Adicionei as linhas do Debian-LTS no gNewSense e pelo jeito arrumou/corrigiu.Porque comandos que ele passouenv x='() { :;}; echo vulneravel' bash -c 'false'não retorna mais nenhuma mensagem, nem com 'unvelneravel' nem com 'true' nem de forma alguma.
Thiago Zoroastro
www.participa.br/thiagozoroastro
www.blogoosfero.cc/thiagozoroastro
De: terce...@debian.orgEnviada: Domingo, 22 de Março de 2015 22:22Para: debian-user-portuguese@lists.debian.orgAssunto: [BUG]ShellshockOn Sun, Mar 22, 2015 at 09:23:34PM -0300, Thiago Zoroastro wrote: Sir, É claro que bugaria. Às vezes coloco algumas linhas diferentes da família Debian e coloco # apt-get upgrade para ver quais pacotes precisariam ser atualizados. Na maioria das vezes nem é possível ou não faço. Como neste que uso é gNewSense, tomo cuidado para instalar apenas livres.. Percebi que as linhas estavam duplicadas e tirei.O problema não é ter linhas duplicadas, isso só faz seu `apt-get update`ficar mais lento, mas não vai causar problemas. O problema é misturarpacotes de distribuições diferentes. *Muitas* coisas podem serdiferentes entre os sistemas, e eventualmente você *vai* ter problemas. Fiz o # apt-get update apenas para instalar o bash não vulnerável. Mas fiquei com vontade de ter feito os comandos do https://shelshocker.net ANTES de ter atualizado, para ver se apontaria a vulnerabilidade. Jamais seria possível atualizar todos aqueles pacotes. No momento julgo que a mensagem foi até desnecessária, tenho tentado falar menos. Porque falar menos tem menos chance equivocar-me. Tanto é que assisto todas aquelas listas. É possível atualizar SOMENTE o bash e depois comentar a linha do Debian-LTS.Eu acho muito difícil que o gNewSense não tenha atualizações desegurança dele próprio. Se realmente não tiver, você deveria procuraroutro sistema, ou procurar ajuda sobre o gNewSense numa lista dogNewSense.-- Antonio Terceiro terce...@debian.org
--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/550f7289579ec_646f15b2515293ec45...@a4-winter1.mail
