Re: [BUG]Shellshock
quem tem servidor web com cgi-bin publico precisa atualizar o seu sistema . tem esse script que você pode usa-lo https://shellshocker.net/ On 22-03-2015 13:28, Rodrigo Cunha wrote: Solução, adicione os repositorios : deb http://ftp.br.debian.org/debian/ wheezy main deb-src http://ftp.br.debian.org/debian/ wheezy main Executei: sudo apt-get update sudo apt-get install --only-upgrade bash gcc-4.4 Em 22 de março de 2015 13:26, P. J. pjotam...@gmail.com mailto:pjotam...@gmail.com escreveu: Que mistureba... Mas com relação ao bug veja qual versão do bash é a vulnerável e qual está instalada na sua máquina... assimo como os pacotes do referentes ao SSL... procure no google, sites com CVE's por exemplo, ou na parte de segurança do debian no seu site... [ ] 's Em 22/03/15, Thiago Zoroastrothiago.zoroas...@bol.com.br mailto:thiago.zoroas...@bol.com.br escreveu: Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou com gNewSense e com algumas dúvidas Coloquei no terminal: root@root# env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list: deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main deb http://ftp.de.debian.org/debian squeeze main ## LTS deb http://http.debian.net/debian/ squeeze-lts main deb-src http://http.debian.net/debian/ squeeze-lts main deb http://http.debian.net/debian/ squeeze main deb-src http://http.debian.net/debian/ squeeze main deb http://http.debian.net/debian squeeze-lts main deb-src http://http.debian.net/debian squeeze-lts main # LTS # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19 tel:20140205-19:57]/ parkes main # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19 tel:20140205-19:57]/ parkes main # Line commented out by installer because it failed to verify: deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # Line commented out by installer because it failed to verify: deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # parkes-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/ parkes-updates main deb-src http://ftp.debian.org/debian/ parkes-updates main deb http://backports.debian.org/debian-backports squeeze-backports main deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr deb http://mozilla.debian.net/ squeeze-backports icedove-esr # deb http://debian.net/debian experimental main # deb http://mozilla.debian.net/ experimental iceweasel-beta Então faço apt-get update e apt-get upgrade e ele me oferece 164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos e 46 não atualizados. É preciso baixar 172 MB de arquivos. Depois desta operação, 51,9 MB de espaço em disco serão liberados. Posso e devo atualizar sem medo? Como sempreatualizei o gNewSense, então posso ter atualizado para o necessário antes. Como posso ver se o pacote instalado é o vulnerável, como era possível ver o do OpenSSL? Att. On 22-03-2015 10:35, Rodrigo Cunha wrote: Srs, encontrei este erro no meu laboratorio com Debian 6. Li no facebook que isso é um bug do bash.O Shellshock, pensei em divulgar porque sei que existem muitos servidores que não tem uma atualização sistematica do S/O e como estamos com O debian 7. Segundo o texto que li, ele permite que via protocolos distintos podem ser enviados comandos remotos para o seu server/desktop. root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false' vulneravel root@DEB-TEST:~# cat /etc/issue Debian GNU/Linux 6.0 \n \l root@DEB-TEST:~# uname -a Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686 GNU/Linux root@DEB-TEST:~# -- Atenciosamente, Rodrigo da Silva Cunha
Re: [BUG]Shellshock
O bash 4.1 Tinha essa vulnerabilidade, fiz o upgrade para o 4.2.37 e agora não tem mais a vulnerabilidade. Fiquei curioso de como eu poderia explorar esta vulnerabilidade em meu ambiente de laboratorio para fins academicos, isso poderia render um bom artigo para a comunidade de SLivre, principalmente se conseguíssemos demostrar os perigos na pratica. Em 22 de março de 2015 13:28, Rodrigo Cunha rodrigo.root...@gmail.com escreveu: Solução, adicione os repositorios : deb http://ftp.br.debian.org/debian/ wheezy main deb-src http://ftp.br.debian.org/debian/ wheezy main Executei: sudo apt-get update sudo apt-get install --only-upgrade bash gcc-4.4 Em 22 de março de 2015 13:26, P. J. pjotam...@gmail.com escreveu: Que mistureba... Mas com relação ao bug veja qual versão do bash é a vulnerável e qual está instalada na sua máquina... assimo como os pacotes do referentes ao SSL... procure no google, sites com CVE's por exemplo, ou na parte de segurança do debian no seu site... [ ] 's Em 22/03/15, Thiago Zoroastrothiago.zoroas...@bol.com.br escreveu: Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou com gNewSense e com algumas dúvidas Coloquei no terminal: root@root# env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list: deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main deb http://ftp.de.debian.org/debian squeeze main ## LTS deb http://http.debian.net/debian/ squeeze-lts main deb-src http://http.debian.net/debian/ squeeze-lts main deb http://http.debian.net/debian/ squeeze main deb-src http://http.debian.net/debian/ squeeze main deb http://http.debian.net/debian squeeze-lts main deb-src http://http.debian.net/debian squeeze-lts main # LTS # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # Line commented out by installer because it failed to verify: deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # Line commented out by installer because it failed to verify: deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # parkes-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/ parkes-updates main deb-src http://ftp.debian.org/debian/ parkes-updates main deb http://backports.debian.org/debian-backports squeeze-backports main deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr deb http://mozilla.debian.net/ squeeze-backports icedove-esr # deb http://debian.net/debian experimental main # deb http://mozilla.debian.net/ experimental iceweasel-beta Então faço apt-get update e apt-get upgrade e ele me oferece 164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos e 46 não atualizados. É preciso baixar 172 MB de arquivos. Depois desta operação, 51,9 MB de espaço em disco serão liberados. Posso e devo atualizar sem medo? Como sempreatualizei o gNewSense, então posso ter atualizado para o necessário antes. Como posso ver se o pacote instalado é o vulnerável, como era possível ver o do OpenSSL? Att. On 22-03-2015 10:35, Rodrigo Cunha wrote: Srs, encontrei este erro no meu laboratorio com Debian 6. Li no facebook que isso é um bug do bash.O Shellshock, pensei em divulgar porque sei que existem muitos servidores que não tem uma atualização sistematica do S/O e como estamos com O debian 7. Segundo o texto que li, ele permite que via protocolos distintos podem ser enviados comandos remotos para o seu server/desktop. root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false' vulneravel root@DEB-TEST:~# cat /etc/issue Debian GNU/Linux 6.0 \n \l root@DEB-TEST:~# uname -a Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686 GNU/Linux root@DEB-TEST:~# -- Atenciosamente, Rodrigo da Silva Cunha -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of
Re: [BUG]Shellshock
Olha isso # bash --version GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later http://gnu.org/licenses/gpl.html This is free software; you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. No repositório do gNewSense está como nenhum pacote para ser atualizado. Como verifico a vulnerabilidade? Como posso saber se este bash está vulnerável? Att. On 22-03-2015 13:32, Rodrigo Cunha wrote: O bash 4.1 Tinha essa vulnerabilidade, fiz o upgrade para o 4.2.37 e agora não tem mais a vulnerabilidade. Fiquei curioso de como eu poderia explorar esta vulnerabilidade em meu ambiente de laboratorio para fins academicos, isso poderia render um bom artigo para a comunidade de SLivre, principalmente se conseguíssemos demostrar os perigos na pratica. Em 22 de março de 2015 13:28, Rodrigo Cunha rodrigo.root...@gmail.com mailto:rodrigo.root...@gmail.com escreveu: Solução, adicione os repositorios : deb http://ftp.br.debian.org/debian/ wheezy main deb-src http://ftp.br.debian.org/debian/ wheezy main Executei: sudo apt-get update sudo apt-get install --only-upgrade bash gcc-4.4 Em 22 de março de 2015 13:26, P. J. pjotam...@gmail.com mailto:pjotam...@gmail.com escreveu: Que mistureba... Mas com relação ao bug veja qual versão do bash é a vulnerável e qual está instalada na sua máquina... assimo como os pacotes do referentes ao SSL... procure no google, sites com CVE's por exemplo, ou na parte de segurança do debian no seu site... [ ] 's Em 22/03/15, Thiago Zoroastrothiago.zoroas...@bol.com.br mailto:thiago.zoroas...@bol.com.br escreveu: Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou com gNewSense e com algumas dúvidas Coloquei no terminal: root@root# env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list: deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main deb http://ftp.de.debian.org/debian squeeze main ## LTS deb http://http.debian.net/debian/ squeeze-lts main deb-src http://http.debian.net/debian/ squeeze-lts main deb http://http.debian.net/debian/ squeeze main deb-src http://http.debian.net/debian/ squeeze main deb http://http.debian.net/debian squeeze-lts main deb-src http://http.debian.net/debian squeeze-lts main # LTS # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19 tel:20140205-19:57]/ parkes main # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19 tel:20140205-19:57]/ parkes main # Line commented out by installer because it failed to verify: deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # Line commented out by installer because it failed to verify: deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # parkes-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/ parkes-updates main deb-src http://ftp.debian.org/debian/ parkes-updates main deb http://backports.debian.org/debian-backports squeeze-backports main deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr deb http://mozilla.debian.net/ squeeze-backports icedove-esr # deb http://debian.net/debian experimental main # deb http://mozilla.debian.net/ experimental iceweasel-beta Então faço apt-get update e apt-get upgrade e ele
Re: [BUG]Shellshock
Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou com gNewSense e com algumas dúvidas Coloquei no terminal: root@root# env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list: deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main deb http://ftp.de.debian.org/debian squeeze main ## LTS deb http://http.debian.net/debian/ squeeze-lts main deb-src http://http.debian.net/debian/ squeeze-lts main deb http://http.debian.net/debian/ squeeze main deb-src http://http.debian.net/debian/ squeeze main deb http://http.debian.net/debian squeeze-lts main deb-src http://http.debian.net/debian squeeze-lts main # LTS # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # Line commented out by installer because it failed to verify: deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # Line commented out by installer because it failed to verify: deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # parkes-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/ parkes-updates main deb-src http://ftp.debian.org/debian/ parkes-updates main deb http://backports.debian.org/debian-backports squeeze-backports main deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr deb http://mozilla.debian.net/ squeeze-backports icedove-esr # deb http://debian.net/debian experimental main # deb http://mozilla.debian.net/ experimental iceweasel-beta Então faço apt-get update e apt-get upgrade e ele me oferece 164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos e 46 não atualizados. É preciso baixar 172 MB de arquivos. Depois desta operação, 51,9 MB de espaço em disco serão liberados. Posso e devo atualizar sem medo? Como sempreatualizei o gNewSense, então posso ter atualizado para o necessário antes. Como posso ver se o pacote instalado é o vulnerável, como era possível ver o do OpenSSL? Att. On 22-03-2015 10:35, Rodrigo Cunha wrote: Srs, encontrei este erro no meu laboratorio com Debian 6. Li no facebook que isso é um bug do bash.O Shellshock, pensei em divulgar porque sei que existem muitos servidores que não tem uma atualização sistematica do S/O e como estamos com O debian 7. Segundo o texto que li, ele permite que via protocolos distintos podem ser enviados comandos remotos para o seu server/desktop. root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false' vulneravel root@DEB-TEST:~# cat /etc/issue Debian GNU/Linux 6.0 \n \l root@DEB-TEST:~# uname -a Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686 GNU/Linux root@DEB-TEST:~# -- Atenciosamente, Rodrigo da Silva Cunha
Re: [BUG]Shellshock
Que mistureba... Mas com relação ao bug veja qual versão do bash é a vulnerável e qual está instalada na sua máquina... assimo como os pacotes do referentes ao SSL... procure no google, sites com CVE's por exemplo, ou na parte de segurança do debian no seu site... [ ] 's Em 22/03/15, Thiago Zoroastrothiago.zoroas...@bol.com.br escreveu: Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou com gNewSense e com algumas dúvidas Coloquei no terminal: root@root# env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list: deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main deb http://ftp.de.debian.org/debian squeeze main ## LTS deb http://http.debian.net/debian/ squeeze-lts main deb-src http://http.debian.net/debian/ squeeze-lts main deb http://http.debian.net/debian/ squeeze main deb-src http://http.debian.net/debian/ squeeze main deb http://http.debian.net/debian squeeze-lts main deb-src http://http.debian.net/debian squeeze-lts main # LTS # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # Line commented out by installer because it failed to verify: deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # Line commented out by installer because it failed to verify: deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # parkes-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/ parkes-updates main deb-src http://ftp.debian.org/debian/ parkes-updates main deb http://backports.debian.org/debian-backports squeeze-backports main deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr deb http://mozilla.debian.net/ squeeze-backports icedove-esr # deb http://debian.net/debian experimental main # deb http://mozilla.debian.net/ experimental iceweasel-beta Então faço apt-get update e apt-get upgrade e ele me oferece 164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos e 46 não atualizados. É preciso baixar 172 MB de arquivos. Depois desta operação, 51,9 MB de espaço em disco serão liberados. Posso e devo atualizar sem medo? Como sempreatualizei o gNewSense, então posso ter atualizado para o necessário antes. Como posso ver se o pacote instalado é o vulnerável, como era possível ver o do OpenSSL? Att. On 22-03-2015 10:35, Rodrigo Cunha wrote: Srs, encontrei este erro no meu laboratorio com Debian 6. Li no facebook que isso é um bug do bash.O Shellshock, pensei em divulgar porque sei que existem muitos servidores que não tem uma atualização sistematica do S/O e como estamos com O debian 7. Segundo o texto que li, ele permite que via protocolos distintos podem ser enviados comandos remotos para o seu server/desktop. root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false' vulneravel root@DEB-TEST:~# cat /etc/issue Debian GNU/Linux 6.0 \n \l root@DEB-TEST:~# uname -a Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686 GNU/Linux root@DEB-TEST:~# -- Atenciosamente, Rodrigo da Silva Cunha -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/cacnf0pjnzdgcwu1h-_gv_rfdymrf80kmhbqudykkssqujep...@mail.gmail.com
Re: [BUG]Shellshock
Solução, adicione os repositorios : deb http://ftp.br.debian.org/debian/ wheezy main deb-src http://ftp.br.debian.org/debian/ wheezy main Executei: sudo apt-get update sudo apt-get install --only-upgrade bash gcc-4.4 Em 22 de março de 2015 13:26, P. J. pjotam...@gmail.com escreveu: Que mistureba... Mas com relação ao bug veja qual versão do bash é a vulnerável e qual está instalada na sua máquina... assimo como os pacotes do referentes ao SSL... procure no google, sites com CVE's por exemplo, ou na parte de segurança do debian no seu site... [ ] 's Em 22/03/15, Thiago Zoroastrothiago.zoroas...@bol.com.br escreveu: Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou com gNewSense e com algumas dúvidas Coloquei no terminal: root@root# env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list: deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main deb http://ftp.de.debian.org/debian squeeze main ## LTS deb http://http.debian.net/debian/ squeeze-lts main deb-src http://http.debian.net/debian/ squeeze-lts main deb http://http.debian.net/debian/ squeeze main deb-src http://http.debian.net/debian/ squeeze main deb http://http.debian.net/debian squeeze-lts main deb-src http://http.debian.net/debian squeeze-lts main # LTS # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # Line commented out by installer because it failed to verify: deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # Line commented out by installer because it failed to verify: deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # parkes-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/ parkes-updates main deb-src http://ftp.debian.org/debian/ parkes-updates main deb http://backports.debian.org/debian-backports squeeze-backports main deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr deb http://mozilla.debian.net/ squeeze-backports icedove-esr # deb http://debian.net/debian experimental main # deb http://mozilla.debian.net/ experimental iceweasel-beta Então faço apt-get update e apt-get upgrade e ele me oferece 164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos e 46 não atualizados. É preciso baixar 172 MB de arquivos. Depois desta operação, 51,9 MB de espaço em disco serão liberados. Posso e devo atualizar sem medo? Como sempreatualizei o gNewSense, então posso ter atualizado para o necessário antes. Como posso ver se o pacote instalado é o vulnerável, como era possível ver o do OpenSSL? Att. On 22-03-2015 10:35, Rodrigo Cunha wrote: Srs, encontrei este erro no meu laboratorio com Debian 6. Li no facebook que isso é um bug do bash.O Shellshock, pensei em divulgar porque sei que existem muitos servidores que não tem uma atualização sistematica do S/O e como estamos com O debian 7. Segundo o texto que li, ele permite que via protocolos distintos podem ser enviados comandos remotos para o seu server/desktop. root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false' vulneravel root@DEB-TEST:~# cat /etc/issue Debian GNU/Linux 6.0 \n \l root@DEB-TEST:~# uname -a Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686 GNU/Linux root@DEB-TEST:~# -- Atenciosamente, Rodrigo da Silva Cunha -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/cacnf0pjnzdgcwu1h-_gv_rfdymrf80kmhbqudykkssqujep...@mail.gmail.com -- Atenciosamente, Rodrigo da Silva Cunha
[SOLVED] Re: [BUG]Shellshock
* Retirei linhas duplicadas que acabei colocando no sources.list quando copiei o que estava nas páginas do Debian-LTS; * Apliquei # apt-get update apt-get install bash (gcc-4.4 já estava instalado) * Agora o comando que o Rodrigo Cunha apresentou não retorna mais a resposta de 'vulneravel' nem outras respostas quando mudo o comando. Resolvido o problema que ele alertou. Aliás, já havia ouvido falar do shellshock, mas ainda não tinha seguido a solução, embora estivesse atualizando o gNewSense regularmente. Obrigado, Att. On 22-03-2015 15:10, Rodrigo Cunha wrote: Na verdade você alterou apenas a string texto da linha, a função desta string, neste contexto.É informar um resultado obtido através de um teste. env x='() { :;}; Ele depende do resultado desta parte da linha para executar ou não o echo vulneravel' Em 22 de março de 2015 15:02, Thiago Zoroastro thiago.zoroas...@bol.com.br mailto:thiago.zoroas...@bol.com.br escreveu: Sim eu havia feito isso desde que você havia colocado esta linha. Daí coloquei na lista com 'unvulneravel' e ele sai 'unvulneravel'. Quer dizer, ele sai o que você colocar ali É claro que com 'vulneravel' e ele aparece 'vulneravel'. Vou colocar denovo: # env x='() { :;}; echo vulneravel' bash -c 'false' vulneravel # env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel # env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel # env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel Sou bastante leigo, mas duvido de muita coisa, então eu testo antes de tirar conclusões. Porque é que ele seria vulneravel se trocar a palavra, troca o 'resultado' também? Se bem que você deve ter atualizado e colocado o mesmo comando e saiu um 'resultado' diferente. Desculpa a teimosia. Thiago Zoroastro www.participa.br/thiagozoroastro http://www.participa.br/thiagozoroastro www.blogoosfero.cc/thiagozoroastro http://www.blogoosfero.cc/thiagozoroastro *De:* rodrigo.root...@gmail.com mailto:rodrigo.root...@gmail.com *Enviada:* Domingo, 22 de Março de 2015 14:49 *Para:* thiago.zoroas...@bol.com.br mailto:thiago.zoroas...@bol.com.br *Assunto:* [BUG]Shellshock Joga essa linha de comando no sei bash : env x='() { :;}; echo vulneravel' bash -c 'false' Se o output for : vulneravel Você está com o bash bugado. Em 22 de março de 2015 14:33, Thiago Zoroastro thiago.zoroas...@bol.com.br http://../../../undefined//compose?to=thiago.zoroas...@bol.com.br escreveu: Olha isso # bash --version GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later http://gnu.org/licenses/gpl.html http://gnu.org/licenses/gpl.html This is free software; you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. No repositório do gNewSense está como nenhum pacote para ser atualizado. Como verifico a vulnerabilidade? Como posso saber se este bash está vulnerável? Att. On 22-03-2015 13:32, Rodrigo Cunha wrote: O bash 4.1 Tinha essa vulnerabilidade, fiz o upgrade para o 4.2.37 e agora não tem mais a vulnerabilidade. Fiquei curioso de como eu poderia explorar esta vulnerabilidade em meu ambiente de laboratorio para fins academicos, isso poderia render um bom artigo para a comunidade de SLivre, principalmente se conseguíssemos demostrar os perigos na pratica. Em 22 de março de 2015 13:28, Rodrigo Cunha rodrigo.root...@gmail.com http://../../../undefined//compose?to=rodrigo.root...@gmail.com escreveu: Solução, adicione os repositorios : deb http://ftp.br.debian.org/debian/ wheezy main deb-src http://ftp.br.debian.org/debian/ wheezy main Executei: sudo apt-get update sudo apt-get install --only-upgrade bash gcc-4.4 Em 22 de março de 2015 13:26, P. J. pjotam...@gmail.com http://../../../undefined//compose?to=pjotam...@gmail.comescreveu: Que mistureba... Mas com relação ao bug veja qual versão do bash é a vulnerável e qual está instalada na sua máquina... assimo como os pacotes do referentes
Re: [SOLVED] Re: [BUG]Shellshock
Valeu por mais esta dica do site shelshocker.net Se não tiver o curl instalado, como foi aqui, é só instalar # apt-get install curl Teste: # curl https://shellshocker.net/shellshock_test.sh | bash % Total% Received % Xferd Average Speed TimeTime Time Current Dload Upload Total SpentLeft Speed 100 2632 100 26320 0898 0 0:00:02 0:00:02 --:--:-- 917 CVE-2014-6271 (original shellshock): not vulnerable CVE-2014-6277 (segfault): not vulnerable CVE-2014-6278 (Florian's patch): not vulnerable CVE-2014-7169 (taviso bug): not vulnerable CVE-2014-7186 (redir_stack bug): not vulnerable CVE-2014-7187 (nested loops off by one): not vulnerable CVE-2014- (exploit 3 on http://shellshocker.net/): not vulnerable On 22-03-2015 16:27, Roberval Lustosa wrote: Esse site ajuda bastante. https://shellshocker.net/ Em 22/03/2015 16:22, Thiago Zoroastro thiago.zoroas...@bol.com.br mailto:thiago.zoroas...@bol.com.br escreveu: * Retirei linhas duplicadas que acabei colocando no sources.list quando copiei o que estava nas páginas do Debian-LTS; * Apliquei # apt-get update apt-get install bash (gcc-4.4 já estava instalado) * Agora o comando que o Rodrigo Cunha apresentou não retorna mais a resposta de 'vulneravel' nem outras respostas quando mudo o comando. Resolvido o problema que ele alertou. Aliás, já havia ouvido falar do shellshock, mas ainda não tinha seguido a solução, embora estivesse atualizando o gNewSense regularmente. Obrigado, Att. On 22-03-2015 15:10, Rodrigo Cunha wrote: Na verdade você alterou apenas a string texto da linha, a função desta string, neste contexto.É informar um resultado obtido através de um teste. env x='() { :;}; Ele depende do resultado desta parte da linha para executar ou não o echo vulneravel' Em 22 de março de 2015 15:02, Thiago Zoroastro thiago.zoroas...@bol.com.br mailto:thiago.zoroas...@bol.com.br escreveu: Sim eu havia feito isso desde que você havia colocado esta linha. Daí coloquei na lista com 'unvulneravel' e ele sai 'unvulneravel'. Quer dizer, ele sai o que você colocar ali É claro que com 'vulneravel' e ele aparece 'vulneravel'. Vou colocar denovo: # env x='() { :;}; echo vulneravel' bash -c 'false' vulneravel # env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel # env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel # env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel Sou bastante leigo, mas duvido de muita coisa, então eu testo antes de tirar conclusões. Porque é que ele seria vulneravel se trocar a palavra, troca o 'resultado' também? Se bem que você deve ter atualizado e colocado o mesmo comando e saiu um 'resultado' diferente. Desculpa a teimosia. Thiago Zoroastro www.participa.br/thiagozoroastro http://www.participa.br/thiagozoroastro www.blogoosfero.cc/thiagozoroastro http://www.blogoosfero.cc/thiagozoroastro *De:* rodrigo.root...@gmail.com mailto:rodrigo.root...@gmail.com *Enviada:* Domingo, 22 de Março de 2015 14:49 *Para:* thiago.zoroas...@bol.com.br mailto:thiago.zoroas...@bol.com.br *Assunto:* [BUG]Shellshock Joga essa linha de comando no sei bash : env x='() { :;}; echo vulneravel' bash -c 'false' Se o output for : vulneravel Você está com o bash bugado. Em 22 de março de 2015 14:33, Thiago Zoroastro thiago.zoroas...@bol.com.br http://../../../undefined//compose?to=thiago.zoroas...@bol.com.br escreveu: Olha isso # bash --version GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later http://gnu.org/licenses/gpl.html http://gnu.org/licenses/gpl.html This is free software; you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. No repositório do gNewSense está como nenhum pacote para ser atualizado. Como verifico a vulnerabilidade? Como posso saber se este bash está vulnerável? Att. On 22-03-2015 13:32, Rodrigo Cunha wrote: O bash 4.1 Tinha essa vulnerabilidade, fiz o
Re: [BUG]Shellshock
On Sun, Mar 22, 2015 at 01:04:40PM -0300, Thiago Zoroastro wrote: Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou com gNewSense e com algumas dúvidas Coloquei no terminal: root@root# env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list: deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main deb http://ftp.de.debian.org/debian squeeze main ## LTS deb http://http.debian.net/debian/ squeeze-lts main deb-src http://http.debian.net/debian/ squeeze-lts main deb http://http.debian.net/debian/ squeeze main deb-src http://http.debian.net/debian/ squeeze main deb http://http.debian.net/debian squeeze-lts main deb-src http://http.debian.net/debian squeeze-lts main # LTS # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # Line commented out by installer because it failed to verify: deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # Line commented out by installer because it failed to verify: deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # parkes-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/ parkes-updates main deb-src http://ftp.debian.org/debian/ parkes-updates main deb http://backports.debian.org/debian-backports squeeze-backports main deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr deb http://mozilla.debian.net/ squeeze-backports icedove-esr # deb http://debian.net/debian experimental main # deb http://mozilla.debian.net/ experimental iceweasel-beta Então faço apt-get update e apt-get upgrade e ele me oferece 164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos e 46 não atualizados. É preciso baixar 172 MB de arquivos. Depois desta operação, 51,9 MB de espaço em disco serão liberados. Posso e devo atualizar sem medo? com esse sources.list desse jeito, você provavemente vai ter muitos problemas. Não se mistura repositórios de sistemas diferentes. -- Antonio Terceiro terce...@debian.org signature.asc Description: Digital signature
Re: [BUG]Shellshock
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Sir, É claro que bugaria. Às vezes coloco algumas linhas diferentes da família Debian e coloco # apt-get upgrade para ver quais pacotes precisariam ser atualizados. Na maioria das vezes nem é possível ou não faço. Como neste que uso é gNewSense, tomo cuidado para instalar apenas livres.. Percebi que as linhas estavam duplicadas e tirei. Fiz o # apt-get update apenas para instalar o bash não vulnerável. Mas fiquei com vontade de ter feito os comandos do https://shelshocker.net ANTES de ter atualizado, para ver se apontaria a vulnerabilidade. Jamais seria possível atualizar todos aqueles pacotes. No momento julgo que a mensagem foi até desnecessária, tenho tentado falar menos. Porque falar menos tem menos chance equivocar-me. Tanto é que assisto todas aquelas listas. É possível atualizar SOMENTE o bash e depois comentar a linha do Debian-LTS. Este é o sources.list atual: deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main deb http://ftp.de.debian.org/debian squeeze main ## LTS # deb http://http.debian.net/debian/ squeeze-lts main # deb-src http://http.debian.net/debian/ squeeze-lts main # LTS # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # Line commented out by installer because it failed to verify: deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # Line commented out by installer because it failed to verify: deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # parkes-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/ parkes-updates main deb-src http://ftp.debian.org/debian/ parkes-updates main deb http://backports.debian.org/debian-backports squeeze-backports main deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr deb http://mozilla.debian.net/ squeeze-backports icedove-esr On 22-03-2015 19:26, Antonio Terceiro wrote: On Sun, Mar 22, 2015 at 01:04:40PM -0300, Thiago Zoroastro wrote: Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou com gNewSense e com algumas dúvidas Coloquei no terminal: root@root# env x='() { :;}; echo vulneravel' bash -c 'true' vulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'false' unvulneravel root@root# env x='() { :;}; echo unvulneravel' bash -c 'true' unvulneravel Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list: deb http://ftp.at.debian.org/debian-backports/ squeeze-backports main deb http://ftp.de.debian.org/debian squeeze main ## LTS deb http://http.debian.net/debian/ squeeze-lts main deb-src http://http.debian.net/debian/ squeeze-lts main deb http://http.debian.net/debian/ squeeze main deb-src http://http.debian.net/debian/ squeeze main deb http://http.debian.net/debian squeeze-lts main deb-src http://http.debian.net/debian squeeze-lts main # LTS # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL Binary 20140205-19:57]/ parkes main # Line commented out by installer because it failed to verify: deb http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # Line commented out by installer because it failed to verify: deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense parkes-security main # parkes-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/ parkes-updates main deb-src http://ftp.debian.org/debian/ parkes-updates main deb http://backports.debian.org/debian-backports squeeze-backports main deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr deb http://mozilla.debian.net/ squeeze-backports icedove-esr # deb http://debian.net/debian experimental main # deb http://mozilla.debian.net/ experimental iceweasel-beta Então faço apt-get update e apt-get upgrade e ele me oferece 164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos
Re: [BUG]Shellshock
On Sun, Mar 22, 2015 at 09:23:34PM -0300, Thiago Zoroastro wrote: Sir, É claro que bugaria. Às vezes coloco algumas linhas diferentes da família Debian e coloco # apt-get upgrade para ver quais pacotes precisariam ser atualizados. Na maioria das vezes nem é possível ou não faço. Como neste que uso é gNewSense, tomo cuidado para instalar apenas livres.. Percebi que as linhas estavam duplicadas e tirei. O problema não é ter linhas duplicadas, isso só faz seu `apt-get update` ficar mais lento, mas não vai causar problemas. O problema é misturar pacotes de distribuições diferentes. *Muitas* coisas podem ser diferentes entre os sistemas, e eventualmente você *vai* ter problemas. Fiz o # apt-get update apenas para instalar o bash não vulnerável. Mas fiquei com vontade de ter feito os comandos do https://shelshocker.net ANTES de ter atualizado, para ver se apontaria a vulnerabilidade. Jamais seria possível atualizar todos aqueles pacotes. No momento julgo que a mensagem foi até desnecessária, tenho tentado falar menos. Porque falar menos tem menos chance equivocar-me. Tanto é que assisto todas aquelas listas. É possível atualizar SOMENTE o bash e depois comentar a linha do Debian-LTS. Eu acho muito difícil que o gNewSense não tenha atualizações de segurança dele próprio. Se realmente não tiver, você deveria procurar outro sistema, ou procurar ajuda sobre o gNewSense numa lista do gNewSense. -- Antonio Terceiro terce...@debian.org signature.asc Description: Digital signature
Re: [BUG]Shellshock
Aviso: (...) "The mail server responded: 4.7.1 deb... Não foi possível enviar pelo Icedove. Em meus computadores eu faço testes. No momento estou usando um Kaiana beta em dois notebooks (pessoal e um somente de testes). Já tive experiências falhas com pacotes, estou habituado a instalar o que for que eu preciso usar.Adicionei as linhas do Debian-LTS no gNewSense e pelo jeito arrumou/corrigiu.Porque comandos que ele passouenv x='() { :;}; echo vulneravel' bash -c 'false'não retorna mais nenhuma mensagem, nem com 'unvelneravel' nem com 'true' nem de forma alguma. Thiago Zoroastro www.participa.br/thiagozoroastro www.blogoosfero.cc/thiagozoroastro De: terce...@debian.orgEnviada: Domingo, 22 de Março de 2015 22:22Para: debian-user-portuguese@lists.debian.orgAssunto: [BUG]ShellshockOn Sun, Mar 22, 2015 at 09:23:34PM -0300, Thiago Zoroastro wrote: Sir, É claro que bugaria. Às vezes coloco algumas linhas diferentes da família Debian e coloco # apt-get upgrade para ver quais pacotes precisariam ser atualizados. Na maioria das vezes nem é possível ou não faço. Como neste que uso é gNewSense, tomo cuidado para instalar apenas livres.. Percebi que as linhas estavam duplicadas e tirei.O problema não é ter linhas duplicadas, isso só faz seu `apt-get update`ficar mais lento, mas não vai causar problemas. O problema é misturarpacotes de distribuições diferentes. *Muitas* coisas podem serdiferentes entre os sistemas, e eventualmente você *vai* ter problemas. Fiz o # apt-get update apenas para instalar o bash não vulnerável. Mas fiquei com vontade de ter feito os comandos do https://shelshocker.net ANTES de ter atualizado, para ver se apontaria a vulnerabilidade. Jamais seria possível atualizar todos aqueles pacotes. No momento julgo que a mensagem foi até desnecessária, tenho tentado falar menos. Porque falar menos tem menos chance equivocar-me. Tanto é que assisto todas aquelas listas. É possível atualizar SOMENTE o bash e depois comentar a linha do Debian-LTS.Eu acho muito difícil que o gNewSense não tenha atualizações desegurança dele próprio. Se realmente não tiver, você deveria procuraroutro sistema, ou procurar ajuda sobre o gNewSense numa lista dogNewSense.-- Antonio Terceiro terce...@debian.org -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/550f7289579ec_646f15b2515293ec45...@a4-winter1.mail