Re: Bash vulnerable
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 El 30/09/14 22:10, Robert J. Briones C. escribió: > este: > > env X='() { (tecnoelite.cl)=>\' bash -c "echo date"; cat echo ; rm > -f echo date > > y sale esto : > > date cat: echo: No existe el fichero o el directorio > > Saludos. > > > El 30 de septiembre de 2014, 22:38, "José \"Yukiteru\" Maldonado" > < josemal...@gmail.com> escribió: > > El 30/09/14 22:04, Robert J. Briones C. escribió: squezzy, ahora instalé la version bash_4.1-3+deb6u2_amd64.deb de bach, ya que tenia solo la 4.1.3, en la pagina de debian decia que esta version ya no era vulnerable, según pruebo creo que no. creo que aún no hay version no vulnerable para squezzy, y por eso no me actualizaba. Saludos. El 30 de septiembre de 2014, 22:26, "José \"Yukiteru\" Maldonado" < josemal...@gmail.com> escribió: El 30/09/14 21:55, Robert J. Briones C. escribió: >>> no entiendo entonces, por que si hago un aptitude >>> upgrade me sale lo siguiente : The following packages >>> will be REMOVED: libnet-daemon-perl{u} libplrpc-perl{u} >>> The following packages will be upgraded: apache2 >>> apache2-mpm-worker apache2-suexec apache2-utils >>> apache2.2-bin apache2.2-common base-files curl dpkg >>> file firmware-linux-free gnupg gpgv grep ia32-libs >>> libapache2-mod-fcgid libcurl3 libdbi-perl libgnutls26 >>> libmagic1 libmysqlclient16 libpq5 libxml2 linux-base >>> linux-image-2.6.32-5-amd64 linux-libc-dev mysql-client >>> mysql-client-5.1 mysql-common mysql-server >>> mysql-server-5.1 mysql-server-core-5.1 openssh-client >>> openssh-server php-pear php5 php5-cgi php5-cli >>> php5-common php5-curl php5-gd php5-mcrypt php5-mysql >>> policyd-weight proftpd-basic proftpd-mod-mysql ssh >>> tzdata The following packages are RECOMMENDED but will >>> NOT be installed: gnupg-curl openssh-blacklist-extra >>> xauth xml-core 48 packages upgraded, 0 newly installed, >>> 2 to remove and 0 not upgraded. Need to get 113 MB of >>> archives. After unpacking 5625 kB will be used. >>> >>> no quiero actualizar ni apache, ni php ni mysql, pero >>> bash si, y este último no sale en el listado. >>> >>> Saludos. >>> >>> El 30 de septiembre de 2014, 22:20, "José \"Yukiteru\" >>> Maldonado" < josemal...@gmail.com> escribió: >>> >>> El 30/09/14 21:30, Robert J. Briones C. escribió: >> la ultima vez que actualicé con upgrade, >> quedaron muchas cosas sin funcionar, aparte, hay >> mucho código PHP que ya no es válido para >> versiones nuevas, no se si me entiendes. >> >> saludos. >> >> El 30 de septiembre de 2014, 21:46, "José >> \"Yukiteru\" Maldonado" < josemal...@gmail.com> >> escribió: >> >>> El 30/09/14 21:13, Robert J. Briones C. >>> escribió: Estimado. como puedo aplicar el parche de seguridad, tengo un servidor y hacer un upgrade de todo el sistema me preocupa por la incompatibilidad de algunas cosas. Saludos. El 30 de septiembre de 2014, 15:51, Eduardo Rios escribió: > El 30/09/14 a las 00:19, Angel Claudio > Alvarez escribió: > >> El Mon, 29 Sep 2014 20:48:37 +0200 >> Eduardo Rios >> escribió: >> > > > ¿O es que no me estoy enterando de la > película? >>> >>> No se te ocurrio leer sobre la >>> vulnerabilidad y como afecta a >> servidores?? Hay mucha documentacion >> dando vueltas, que la verdad comentarlo >> aca seria redundante >> > > Casi todo lo que he encontrado estaba en > inglés y no me entero muy bien... y por eso > entendí que era para cualquier equipo con > Linux y bash... > > > -- www.LinuxCounter.net > > Registered user #558467 has 2 linux > machines > > > -- To UNSUBSCRIBE, email to > debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? > Contact listmas...@lists.debian.org > Archive: > https://lists.debian.org/m0f1jm$spa$2...@ger.gmane.org > > >>> >>> > > > Solo actualiza tu servidor, dudo mucho que la actualización >>> vaya a romper la compatibilidad con tus scripts >>> a no ser que tus scripts desde un principio >>> hayan estado mal escritos. >>> >>>
Re: Bash vulnerable
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 El 30/09/14 22:04, Robert J. Briones C. escribió: > squezzy, ahora instalé la version bash_4.1-3+deb6u2_amd64.deb de > bach, ya que tenia solo la 4.1.3, en la pagina de debian decia que > esta version ya no era vulnerable, según pruebo creo que no. > > creo que aún no hay version no vulnerable para squezzy, y por eso > no me actualizaba. > > Saludos. > > El 30 de septiembre de 2014, 22:26, "José \"Yukiteru\" Maldonado" > < josemal...@gmail.com> escribió: > > El 30/09/14 21:55, Robert J. Briones C. escribió: no entiendo entonces, por que si hago un aptitude upgrade me sale lo siguiente : The following packages will be REMOVED: libnet-daemon-perl{u} libplrpc-perl{u} The following packages will be upgraded: apache2 apache2-mpm-worker apache2-suexec apache2-utils apache2.2-bin apache2.2-common base-files curl dpkg file firmware-linux-free gnupg gpgv grep ia32-libs libapache2-mod-fcgid libcurl3 libdbi-perl libgnutls26 libmagic1 libmysqlclient16 libpq5 libxml2 linux-base linux-image-2.6.32-5-amd64 linux-libc-dev mysql-client mysql-client-5.1 mysql-common mysql-server mysql-server-5.1 mysql-server-core-5.1 openssh-client openssh-server php-pear php5 php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt php5-mysql policyd-weight proftpd-basic proftpd-mod-mysql ssh tzdata The following packages are RECOMMENDED but will NOT be installed: gnupg-curl openssh-blacklist-extra xauth xml-core 48 packages upgraded, 0 newly installed, 2 to remove and 0 not upgraded. Need to get 113 MB of archives. After unpacking 5625 kB will be used. no quiero actualizar ni apache, ni php ni mysql, pero bash si, y este último no sale en el listado. Saludos. El 30 de septiembre de 2014, 22:20, "José \"Yukiteru\" Maldonado" < josemal...@gmail.com> escribió: El 30/09/14 21:30, Robert J. Briones C. escribió: >>> la ultima vez que actualicé con upgrade, quedaron >>> muchas cosas sin funcionar, aparte, hay mucho código >>> PHP que ya no es válido para versiones nuevas, no se si >>> me entiendes. >>> >>> saludos. >>> >>> El 30 de septiembre de 2014, 21:46, "José \"Yukiteru\" >>> Maldonado" < josemal...@gmail.com> escribió: >>> El 30/09/14 21:13, Robert J. Briones C. escribió: > Estimado. > > como puedo aplicar el parche de seguridad, tengo > un servidor y hacer un upgrade de todo el sistema > me preocupa por la incompatibilidad de algunas > cosas. > > Saludos. > > El 30 de septiembre de 2014, 15:51, Eduardo Rios > escribió: > >> El 30/09/14 a las 00:19, Angel Claudio Alvarez >> escribió: >> >>> El Mon, 29 Sep 2014 20:48:37 +0200 Eduardo >>> Rios escribió: >>> >> >> >> ¿O es que no me estoy enterando de la película? No se te ocurrio leer sobre la vulnerabilidad y como afecta a >>> servidores?? Hay mucha documentacion dando >>> vueltas, que la verdad comentarlo aca seria >>> redundante >>> >> >> Casi todo lo que he encontrado estaba en inglés y >> no me entero muy bien... y por eso entendí que >> era para cualquier equipo con Linux y bash... >> >> >> -- www.LinuxCounter.net >> >> Registered user #558467 has 2 linux machines >> >> >> -- To UNSUBSCRIBE, email to >> debian-user-spanish-requ...@lists.debian.org with >> a subject of "unsubscribe". Trouble? Contact >> listmas...@lists.debian.org Archive: >> https://lists.debian.org/m0f1jm$spa$2...@ger.gmane.org >> >> > >> Solo actualiza tu servidor, dudo mucho que la actualización vaya a romper la compatibilidad con tus scripts a no ser que tus scripts desde un principio hayan estado mal escritos. -- Dios en su cielo, todo bien en la Tierra * -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/542b5d10.4030...@gmail.com >>> Si entiendo, pero tu mismo lo has dicho: >>> hay mucho código PHP que ya no es válido para >>> versiones nuevas Eso es válido, pero esta no es una nueva versión de bash, es una actualización de seguridad, no un cambio completo y mayor de versión. > > > Mmm raro, que versión de bash tienes en tu sistema, pasa
Re: Bash vulnerable
squezzy, ahora instalé la version bash_4.1-3+deb6u2_amd64.deb de bach, ya que tenia solo la 4.1.3, en la pagina de debian decia que esta version ya no era vulnerable, según pruebo creo que no. creo que aún no hay version no vulnerable para squezzy, y por eso no me actualizaba. Saludos. El 30 de septiembre de 2014, 22:26, "José \"Yukiteru\" Maldonado" < josemal...@gmail.com> escribió: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > El 30/09/14 21:55, Robert J. Briones C. escribió: > > no entiendo entonces, por que si hago un aptitude upgrade me sale > > lo siguiente : The following packages will be REMOVED: > > libnet-daemon-perl{u} libplrpc-perl{u} The following packages will > > be upgraded: apache2 apache2-mpm-worker apache2-suexec > > apache2-utils apache2.2-bin apache2.2-common base-files curl dpkg > > file firmware-linux-free gnupg gpgv grep ia32-libs > > libapache2-mod-fcgid libcurl3 libdbi-perl libgnutls26 libmagic1 > > libmysqlclient16 libpq5 libxml2 linux-base > > linux-image-2.6.32-5-amd64 linux-libc-dev mysql-client > > mysql-client-5.1 mysql-common mysql-server mysql-server-5.1 > > mysql-server-core-5.1 openssh-client openssh-server php-pear php5 > > php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt > > php5-mysql policyd-weight proftpd-basic proftpd-mod-mysql ssh > > tzdata The following packages are RECOMMENDED but will NOT be > > installed: gnupg-curl openssh-blacklist-extra xauth xml-core 48 > > packages upgraded, 0 newly installed, 2 to remove and 0 not > > upgraded. Need to get 113 MB of archives. After unpacking 5625 kB > > will be used. > > > > no quiero actualizar ni apache, ni php ni mysql, pero bash si, y > > este último no sale en el listado. > > > > Saludos. > > > > El 30 de septiembre de 2014, 22:20, "José \"Yukiteru\" Maldonado" > > < josemal...@gmail.com> escribió: > > > > El 30/09/14 21:30, Robert J. Briones C. escribió: > la ultima vez que actualicé con upgrade, quedaron muchas > cosas sin funcionar, aparte, hay mucho código PHP que ya no > es válido para versiones nuevas, no se si me entiendes. > > saludos. > > El 30 de septiembre de 2014, 21:46, "José \"Yukiteru\" > Maldonado" < josemal...@gmail.com> escribió: > > > El 30/09/14 21:13, Robert J. Briones C. escribió: > >> Estimado. > >> > >> como puedo aplicar el parche de seguridad, tengo un > >> servidor y hacer un upgrade de todo el sistema me > >> preocupa por la incompatibilidad de algunas cosas. > >> > >> Saludos. > >> > >> El 30 de septiembre de 2014, 15:51, Eduardo Rios > >> escribió: > >> > >>> El 30/09/14 a las 00:19, Angel Claudio Alvarez > >>> escribió: > >>> > El Mon, 29 Sep 2014 20:48:37 +0200 Eduardo Rios > escribió: > > >>> > >>> > >>> ¿O es que no me estoy enterando de la película? > > > > No se te ocurrio leer sobre la vulnerabilidad y > > como afecta a > servidores?? Hay mucha documentacion dando vueltas, > que la verdad comentarlo aca seria redundante > > >>> > >>> Casi todo lo que he encontrado estaba en inglés y no > >>> me entero muy bien... y por eso entendí que era para > >>> cualquier equipo con Linux y bash... > >>> > >>> > >>> -- www.LinuxCounter.net > >>> > >>> Registered user #558467 has 2 linux machines > >>> > >>> > >>> -- To UNSUBSCRIBE, email to > >>> debian-user-spanish-requ...@lists.debian.org with a > >>> subject of "unsubscribe". Trouble? Contact > >>> listmas...@lists.debian.org Archive: > >>> https://lists.debian.org/m0f1jm$spa$2...@ger.gmane.org > >>> > >>> > >> > > > > Solo actualiza tu servidor, dudo mucho que la actualización > > vaya a romper la compatibilidad con tus scripts a no ser > > que tus scripts desde un principio hayan estado mal > > escritos. > > > > -- Dios en su cielo, todo bien en la Tierra > > * > > > > > > -- To UNSUBSCRIBE, email to > > debian-user-spanish-requ...@lists.debian.org with a subject > > of "unsubscribe". Trouble? Contact > > listmas...@lists.debian.org Archive: > > https://lists.debian.org/542b5d10.4030...@gmail.com > > > > > > > > > Si entiendo, pero tu mismo lo has dicho: > > > hay mucho código PHP que ya no es válido para versiones > nuevas > > > > Eso es válido, pero esta no es una nueva versión de bash, es una > > actualización de seguridad, no un cambio completo y mayor de > > versión. > > > > > >> > > > > Mmm raro, que versión de bash tienes en tu sistema, pasa la salida del > comando: > > bash --version > > Y además ¿Qué rama Debian estás usando? > > - -- > Dios en su cielo, todo bien en la Tierra > * > -BEGIN PGP SIGNATURE- > Version: GnuPG v2 > Comment: Using GnuPG with Thunderbird - http
Re: Bash vulnerable
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 El 30/09/14 21:55, Robert J. Briones C. escribió: > no entiendo entonces, por que si hago un aptitude upgrade me sale > lo siguiente : The following packages will be REMOVED: > libnet-daemon-perl{u} libplrpc-perl{u} The following packages will > be upgraded: apache2 apache2-mpm-worker apache2-suexec > apache2-utils apache2.2-bin apache2.2-common base-files curl dpkg > file firmware-linux-free gnupg gpgv grep ia32-libs > libapache2-mod-fcgid libcurl3 libdbi-perl libgnutls26 libmagic1 > libmysqlclient16 libpq5 libxml2 linux-base > linux-image-2.6.32-5-amd64 linux-libc-dev mysql-client > mysql-client-5.1 mysql-common mysql-server mysql-server-5.1 > mysql-server-core-5.1 openssh-client openssh-server php-pear php5 > php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt > php5-mysql policyd-weight proftpd-basic proftpd-mod-mysql ssh > tzdata The following packages are RECOMMENDED but will NOT be > installed: gnupg-curl openssh-blacklist-extra xauth xml-core 48 > packages upgraded, 0 newly installed, 2 to remove and 0 not > upgraded. Need to get 113 MB of archives. After unpacking 5625 kB > will be used. > > no quiero actualizar ni apache, ni php ni mysql, pero bash si, y > este último no sale en el listado. > > Saludos. > > El 30 de septiembre de 2014, 22:20, "José \"Yukiteru\" Maldonado" > < josemal...@gmail.com> escribió: > > El 30/09/14 21:30, Robert J. Briones C. escribió: la ultima vez que actualicé con upgrade, quedaron muchas cosas sin funcionar, aparte, hay mucho código PHP que ya no es válido para versiones nuevas, no se si me entiendes. saludos. El 30 de septiembre de 2014, 21:46, "José \"Yukiteru\" Maldonado" < josemal...@gmail.com> escribió: > El 30/09/14 21:13, Robert J. Briones C. escribió: >> Estimado. >> >> como puedo aplicar el parche de seguridad, tengo un >> servidor y hacer un upgrade de todo el sistema me >> preocupa por la incompatibilidad de algunas cosas. >> >> Saludos. >> >> El 30 de septiembre de 2014, 15:51, Eduardo Rios >> escribió: >> >>> El 30/09/14 a las 00:19, Angel Claudio Alvarez >>> escribió: >>> El Mon, 29 Sep 2014 20:48:37 +0200 Eduardo Rios escribió: >>> >>> >>> ¿O es que no me estoy enterando de la película? > > No se te ocurrio leer sobre la vulnerabilidad y > como afecta a servidores?? Hay mucha documentacion dando vueltas, que la verdad comentarlo aca seria redundante >>> >>> Casi todo lo que he encontrado estaba en inglés y no >>> me entero muy bien... y por eso entendí que era para >>> cualquier equipo con Linux y bash... >>> >>> >>> -- www.LinuxCounter.net >>> >>> Registered user #558467 has 2 linux machines >>> >>> >>> -- To UNSUBSCRIBE, email to >>> debian-user-spanish-requ...@lists.debian.org with a >>> subject of "unsubscribe". Trouble? Contact >>> listmas...@lists.debian.org Archive: >>> https://lists.debian.org/m0f1jm$spa$2...@ger.gmane.org >>> >>> >> > > Solo actualiza tu servidor, dudo mucho que la actualización > vaya a romper la compatibilidad con tus scripts a no ser > que tus scripts desde un principio hayan estado mal > escritos. > > -- Dios en su cielo, todo bien en la Tierra > * > > > -- To UNSUBSCRIBE, email to > debian-user-spanish-requ...@lists.debian.org with a subject > of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org Archive: > https://lists.debian.org/542b5d10.4030...@gmail.com > > > > Si entiendo, pero tu mismo lo has dicho: > hay mucho código PHP que ya no es válido para versiones nuevas > > Eso es válido, pero esta no es una nueva versión de bash, es una > actualización de seguridad, no un cambio completo y mayor de > versión. > > >> > Mmm raro, que versión de bash tienes en tu sistema, pasa la salida del comando: bash --version Y además ¿Qué rama Debian estás usando? - -- Dios en su cielo, todo bien en la Tierra * -BEGIN PGP SIGNATURE- Version: GnuPG v2 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQIcBAEBAgAGBQJUK2ZEAAoJEK7N768FI6D4rKUQAOsVHM2J2KJvIFxzAyyPEObA df7cY8wD6BJiLP/8SOl7zV+tpYRAIodaU8SdCfyefUkve69dQ/86tURuCyy3nN6+ Gz4PpyUgTFB9JzPiQemWH7wt61hx9zraiPf3JmjczxG+jmqX9ppOBWNw0MHjaTgy HbpM312AMc6EOPC0MdUM30yjOfzs1cm9x/g8yfdFejCdpI31xYNLAkL+lAd7dBrw hL49d5BaLRJEE1RwDURBC7t/noh1GxxE8xPOtEJXUE0aUOSqcZtPyh1D4G683gIx wiJWh7RyO0RcQGbDGBRUVPylcg29FlLziHDARJrOTg5nGfA4AmOmKHuN8ngZaHXL N6O0v5Qq826VDR3XDUprd3HbnXUMggxb1y4l0vJPRlyVP/m+R7ySjiUpeK1OPuyB nERq73KbOpZYJtIyARV45I4ERzaA6ZyOL+ys4ECoFf+NBjVSGjn6aKOR4BgXDL2t j0dxGou9aZXjZ4Pxm5J08ZYHSSy0SfVNULH1hNc4nxMy2i2UOZF/Vx
Re: Bash vulnerable
no entiendo entonces, por que si hago un aptitude upgrade me sale lo siguiente : The following packages will be REMOVED: libnet-daemon-perl{u} libplrpc-perl{u} The following packages will be upgraded: apache2 apache2-mpm-worker apache2-suexec apache2-utils apache2.2-bin apache2.2-common base-files curl dpkg file firmware-linux-free gnupg gpgv grep ia32-libs libapache2-mod-fcgid libcurl3 libdbi-perl libgnutls26 libmagic1 libmysqlclient16 libpq5 libxml2 linux-base linux-image-2.6.32-5-amd64 linux-libc-dev mysql-client mysql-client-5.1 mysql-common mysql-server mysql-server-5.1 mysql-server-core-5.1 openssh-client openssh-server php-pear php5 php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt php5-mysql policyd-weight proftpd-basic proftpd-mod-mysql ssh tzdata The following packages are RECOMMENDED but will NOT be installed: gnupg-curl openssh-blacklist-extra xauth xml-core 48 packages upgraded, 0 newly installed, 2 to remove and 0 not upgraded. Need to get 113 MB of archives. After unpacking 5625 kB will be used. no quiero actualizar ni apache, ni php ni mysql, pero bash si, y este último no sale en el listado. Saludos. El 30 de septiembre de 2014, 22:20, "José \"Yukiteru\" Maldonado" < josemal...@gmail.com> escribió: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > El 30/09/14 21:30, Robert J. Briones C. escribió: > > la ultima vez que actualicé con upgrade, quedaron muchas cosas sin > > funcionar, aparte, hay mucho código PHP que ya no es válido para > > versiones nuevas, no se si me entiendes. > > > > saludos. > > > > El 30 de septiembre de 2014, 21:46, "José \"Yukiteru\" Maldonado" > > < josemal...@gmail.com> escribió: > > > >> El 30/09/14 21:13, Robert J. Briones C. escribió: > >>> Estimado. > >>> > >>> como puedo aplicar el parche de seguridad, tengo un servidor y > >>> hacer un upgrade de todo el sistema me preocupa por la > >>> incompatibilidad de algunas cosas. > >>> > >>> Saludos. > >>> > >>> El 30 de septiembre de 2014, 15:51, Eduardo Rios > >>> escribió: > >>> > El 30/09/14 a las 00:19, Angel Claudio Alvarez escribió: > > > El Mon, 29 Sep 2014 20:48:37 +0200 Eduardo Rios > > escribió: > > > > > ¿O es que no me estoy enterando de la película? > >> > >> No se te ocurrio leer sobre la vulnerabilidad y como > >> afecta a > > servidores?? Hay mucha documentacion dando vueltas, que la > > verdad comentarlo aca seria redundante > > > > Casi todo lo que he encontrado estaba en inglés y no me > entero muy bien... y por eso entendí que era para cualquier > equipo con Linux y bash... > > > -- www.LinuxCounter.net > > Registered user #558467 has 2 linux machines > > > -- To UNSUBSCRIBE, email to > debian-user-spanish-requ...@lists.debian.org with a subject > of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org Archive: > https://lists.debian.org/m0f1jm$spa$2...@ger.gmane.org > > > >>> > >> > >> Solo actualiza tu servidor, dudo mucho que la actualización vaya > >> a romper la compatibilidad con tus scripts a no ser que tus > >> scripts desde un principio hayan estado mal escritos. > >> > >> -- Dios en su cielo, todo bien en la Tierra > >> * > >> > >> > >> -- To UNSUBSCRIBE, email to > >> debian-user-spanish-requ...@lists.debian.org with a subject of > >> "unsubscribe". Trouble? Contact listmas...@lists.debian.org > >> Archive: https://lists.debian.org/542b5d10.4030...@gmail.com > >> > >> > > > > Si entiendo, pero tu mismo lo has dicho: > > > hay mucho código PHP que ya no es válido para versiones nuevas > > Eso es válido, pero esta no es una nueva versión de bash, es una > actualización de seguridad, no un cambio completo y mayor de versión. > > > - -- > Dios en su cielo, todo bien en la Tierra > * > -BEGIN PGP SIGNATURE- > Version: GnuPG v2 > Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ > > iQIcBAEBAgAGBQJUK2T6AAoJEK7N768FI6D4e4MQANfaoke2ayC9NAnmxrCb8o70 > EL0dXnetvLDOBv0dVm0I2gfHqOBUSlc7Eq+UpzsD8g8mZwnSjKBaQZTFq6OBI3o/ > 8NcAvdCuZBtquolGozDSnoVqSarserMwFyoJrs8YwuDtfbDUURMgyL9hlF+kG9YW > AN+4njLvNAlGHj1PupF/E9SgfY2atWOHxmE3xNoCShQ88nCVWNpL6o4wkFR1JWXJ > yfrE9WDJapY0or4SPYDkK9GM0NtbMLl4ndl96hq0VYNRAHS+g4Di0dOOFwIwx3ly > 9qLa/L5+9nKQRaMhIjz2YmRyWFmrriqQG8vuJjVFej9AU4MGDGaPz96uL5KGBjiz > dGfcnqfqHeurOKFBP7GNKXPh2UzKIhoocY5tbM2G/JAiiDHDU4FfSpBnIv0UXrzk > dfg8iX4Mv2KG0rj62bQCxWS5lHWrLz+A9qfNrAiSNmLJZoDaKP+fSEArm/VEVJ6D > BaKsfZQx+ToLcXUnufF6LKtA19VHdpjNGvqtmLRy9ggJYZ+djWpZr04WQyPxcPrZ > KJkezcS4lSjbYggZxy6N8tanhqAkrUjASJoCBPinBiD72vZU7hK5dhKhoXa99NL8 > YIgiPAKi6LtVmzRzdFI/jH2tpoBGHf6D3koK+IBz7xKzRHKfA3if0kELsT4/lZ5q > fPVNujqimOm2KcVK5tcx > =yvmM > -END PGP SIGNATURE- >
Re: Bash vulnerable
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 El 30/09/14 21:30, Robert J. Briones C. escribió: > la ultima vez que actualicé con upgrade, quedaron muchas cosas sin > funcionar, aparte, hay mucho código PHP que ya no es válido para > versiones nuevas, no se si me entiendes. > > saludos. > > El 30 de septiembre de 2014, 21:46, "José \"Yukiteru\" Maldonado" > < josemal...@gmail.com> escribió: > >> El 30/09/14 21:13, Robert J. Briones C. escribió: >>> Estimado. >>> >>> como puedo aplicar el parche de seguridad, tengo un servidor y >>> hacer un upgrade de todo el sistema me preocupa por la >>> incompatibilidad de algunas cosas. >>> >>> Saludos. >>> >>> El 30 de septiembre de 2014, 15:51, Eduardo Rios >>> escribió: >>> El 30/09/14 a las 00:19, Angel Claudio Alvarez escribió: > El Mon, 29 Sep 2014 20:48:37 +0200 Eduardo Rios > escribió: > ¿O es que no me estoy enterando de la película? >> >> No se te ocurrio leer sobre la vulnerabilidad y como >> afecta a > servidores?? Hay mucha documentacion dando vueltas, que la > verdad comentarlo aca seria redundante > Casi todo lo que he encontrado estaba en inglés y no me entero muy bien... y por eso entendí que era para cualquier equipo con Linux y bash... -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m0f1jm$spa$2...@ger.gmane.org >>> >> >> Solo actualiza tu servidor, dudo mucho que la actualización vaya >> a romper la compatibilidad con tus scripts a no ser que tus >> scripts desde un principio hayan estado mal escritos. >> >> -- Dios en su cielo, todo bien en la Tierra >> * >> >> >> -- To UNSUBSCRIBE, email to >> debian-user-spanish-requ...@lists.debian.org with a subject of >> "unsubscribe". Trouble? Contact listmas...@lists.debian.org >> Archive: https://lists.debian.org/542b5d10.4030...@gmail.com >> >> > Si entiendo, pero tu mismo lo has dicho: > hay mucho código PHP que ya no es válido para versiones nuevas Eso es válido, pero esta no es una nueva versión de bash, es una actualización de seguridad, no un cambio completo y mayor de versión. - -- Dios en su cielo, todo bien en la Tierra * -BEGIN PGP SIGNATURE- Version: GnuPG v2 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQIcBAEBAgAGBQJUK2T6AAoJEK7N768FI6D4e4MQANfaoke2ayC9NAnmxrCb8o70 EL0dXnetvLDOBv0dVm0I2gfHqOBUSlc7Eq+UpzsD8g8mZwnSjKBaQZTFq6OBI3o/ 8NcAvdCuZBtquolGozDSnoVqSarserMwFyoJrs8YwuDtfbDUURMgyL9hlF+kG9YW AN+4njLvNAlGHj1PupF/E9SgfY2atWOHxmE3xNoCShQ88nCVWNpL6o4wkFR1JWXJ yfrE9WDJapY0or4SPYDkK9GM0NtbMLl4ndl96hq0VYNRAHS+g4Di0dOOFwIwx3ly 9qLa/L5+9nKQRaMhIjz2YmRyWFmrriqQG8vuJjVFej9AU4MGDGaPz96uL5KGBjiz dGfcnqfqHeurOKFBP7GNKXPh2UzKIhoocY5tbM2G/JAiiDHDU4FfSpBnIv0UXrzk dfg8iX4Mv2KG0rj62bQCxWS5lHWrLz+A9qfNrAiSNmLJZoDaKP+fSEArm/VEVJ6D BaKsfZQx+ToLcXUnufF6LKtA19VHdpjNGvqtmLRy9ggJYZ+djWpZr04WQyPxcPrZ KJkezcS4lSjbYggZxy6N8tanhqAkrUjASJoCBPinBiD72vZU7hK5dhKhoXa99NL8 YIgiPAKi6LtVmzRzdFI/jH2tpoBGHf6D3koK+IBz7xKzRHKfA3if0kELsT4/lZ5q fPVNujqimOm2KcVK5tcx =yvmM -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/542b64fa.1010...@gmail.com
Re: Bash vulnerable
la ultima vez que actualicé con upgrade, quedaron muchas cosas sin funcionar, aparte, hay mucho código PHP que ya no es válido para versiones nuevas, no se si me entiendes. saludos. El 30 de septiembre de 2014, 21:46, "José \"Yukiteru\" Maldonado" < josemal...@gmail.com> escribió: > El 30/09/14 21:13, Robert J. Briones C. escribió: > > Estimado. > > > > como puedo aplicar el parche de seguridad, tengo un servidor y > > hacer un upgrade de todo el sistema me preocupa por la > > incompatibilidad de algunas cosas. > > > > Saludos. > > > > El 30 de septiembre de 2014, 15:51, Eduardo Rios > > escribió: > > > >> El 30/09/14 a las 00:19, Angel Claudio Alvarez escribió: > >> > >>> El Mon, 29 Sep 2014 20:48:37 +0200 Eduardo Rios > >>> escribió: > >>> > >> > >> > >> ¿O es que no me estoy enterando de la película? > > No se te ocurrio leer sobre la vulnerabilidad y como afecta > a > >>> servidores?? Hay mucha documentacion dando vueltas, que la > >>> verdad comentarlo aca seria redundante > >>> > >> > >> Casi todo lo que he encontrado estaba en inglés y no me entero > >> muy bien... y por eso entendí que era para cualquier equipo con > >> Linux y bash... > >> > >> > >> -- www.LinuxCounter.net > >> > >> Registered user #558467 has 2 linux machines > >> > >> > >> -- To UNSUBSCRIBE, email to > >> debian-user-spanish-requ...@lists.debian.org with a subject of > >> "unsubscribe". Trouble? Contact listmas...@lists.debian.org > >> Archive: https://lists.debian.org/m0f1jm$spa$2...@ger.gmane.org > >> > >> > > > > Solo actualiza tu servidor, dudo mucho que la actualización vaya a > romper la compatibilidad con tus scripts a no ser que tus scripts > desde un principio hayan estado mal escritos. > > -- > Dios en su cielo, todo bien en la Tierra > * > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: https://lists.debian.org/542b5d10.4030...@gmail.com > >
Re: Bash vulnerable
El 30/09/14 21:13, Robert J. Briones C. escribió: > Estimado. > > como puedo aplicar el parche de seguridad, tengo un servidor y > hacer un upgrade de todo el sistema me preocupa por la > incompatibilidad de algunas cosas. > > Saludos. > > El 30 de septiembre de 2014, 15:51, Eduardo Rios > escribió: > >> El 30/09/14 a las 00:19, Angel Claudio Alvarez escribió: >> >>> El Mon, 29 Sep 2014 20:48:37 +0200 Eduardo Rios >>> escribió: >>> >> >> >> ¿O es que no me estoy enterando de la película? No se te ocurrio leer sobre la vulnerabilidad y como afecta a >>> servidores?? Hay mucha documentacion dando vueltas, que la >>> verdad comentarlo aca seria redundante >>> >> >> Casi todo lo que he encontrado estaba en inglés y no me entero >> muy bien... y por eso entendí que era para cualquier equipo con >> Linux y bash... >> >> >> -- www.LinuxCounter.net >> >> Registered user #558467 has 2 linux machines >> >> >> -- To UNSUBSCRIBE, email to >> debian-user-spanish-requ...@lists.debian.org with a subject of >> "unsubscribe". Trouble? Contact listmas...@lists.debian.org >> Archive: https://lists.debian.org/m0f1jm$spa$2...@ger.gmane.org >> >> > Solo actualiza tu servidor, dudo mucho que la actualización vaya a romper la compatibilidad con tus scripts a no ser que tus scripts desde un principio hayan estado mal escritos. -- Dios en su cielo, todo bien en la Tierra * -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/542b5d10.4030...@gmail.com
Re: Bash vulnerable
Estimado. como puedo aplicar el parche de seguridad, tengo un servidor y hacer un upgrade de todo el sistema me preocupa por la incompatibilidad de algunas cosas. Saludos. El 30 de septiembre de 2014, 15:51, Eduardo Rios escribió: > El 30/09/14 a las 00:19, Angel Claudio Alvarez escribió: > >> El Mon, 29 Sep 2014 20:48:37 +0200 >> Eduardo Rios escribió: >> > > > ¿O es que no me estoy enterando de la película? >>> >>> No se te ocurrio leer sobre la vulnerabilidad y como afecta a >> servidores?? >> Hay mucha documentacion dando vueltas, que la verdad comentarlo aca seria >> redundante >> > > Casi todo lo que he encontrado estaba en inglés y no me entero muy bien... > y por eso entendí que era para cualquier equipo con Linux y bash... > > > -- > www.LinuxCounter.net > > Registered user #558467 > has 2 linux machines > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: https://lists.debian.org/m0f1jm$spa$2...@ger.gmane.org > >
Re: Bash vulnerable
El 30/09/14 a las 00:19, Angel Claudio Alvarez escribió: El Mon, 29 Sep 2014 20:48:37 +0200 Eduardo Rios escribió: ¿O es que no me estoy enterando de la película? No se te ocurrio leer sobre la vulnerabilidad y como afecta a servidores?? Hay mucha documentacion dando vueltas, que la verdad comentarlo aca seria redundante Casi todo lo que he encontrado estaba en inglés y no me entero muy bien... y por eso entendí que era para cualquier equipo con Linux y bash... -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m0f1jm$spa$2...@ger.gmane.org
Re: Bash vulnerable
El 30/09/14 a las 01:05, Emmanuel Brenes escribió: Eh, no, creo que no es necesario dejar de navegar... A ver, te lo pongo así, estás en problemas: - Si tienes un servidor que usa CGI para trabajar, corres peligro si no has corregido el problema. No, no tengo ningún servidor, sólo hago uso de dos portátiles para uso doméstico. Uno con Debian 7.6 y otro con Debian testing. - Si usas CUPS y de alguna forma está disponible de forma pública -que ya es mucho decir lo inseguro que es. En los dos equipos tengo instalado cups, ya que creo que se instala por defecto, pero no tengo ninguna impresora. Si hago uso de la opción imprimir a archivo (PDF) - Si le das el control a alguien de tu computador y NO hayas parcheado las vulnerabilidades. Esto NUNCA :) No estás en problemas: - Si usas tu computador en modo usuario final, o sea, para juegos, navegar en Internet, ver vídeos, descargar archivos -legalmente, etc. Eso si, portátiles para uso usuario final, doméstico. Nada de juegos, pero si todo lo demás. - Si usas tu computador como servidor pero está actualizado y con todos los parches al día. Esto no. Así que ten paz, puedes navegar tranquilo y feliz, a menos que cumplas alguna de las pautas citas al inicio. Gracias :) -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m0f1e7$spa$1...@ger.gmane.org
Re: Bash vulnerable
El 30/09/14 a las 00:21, Angel Claudio Alvarez escribió: El Mon, 29 Sep 2014 21:29:04 +0200 Eduardo Rios escribió: El 29/09/14 a las 20:56, Emmanuel Brenes escribió: Según entiendo el alcance es remoto, o sea, desde otros computadores se puede ver vulnerado el sistema, el detalle es en circunstancias muy particulares, como han dicho varios ya, a través de páginas que utilicen CGI -scripts que se ejecutan en el sistema como apoyo-, CUPS para imprimir y otros aspectos, no obstante el rango de ataque es alto, pero para una porción específica del "mercado". Para los usuarios finales, basta con actualizar el sistema, los Administradores de Sistemas, son los que tienen que concentrarse en más variables. Gracias Emmanuel. Pues nada, estaré pendiente de las futuras actualizaciones de bash, y procuraré no navegar demasiado por la red :) No entendiste nada. Que tiene que ver el que "navegues" por la red con la vulnerabilidad? Pues tienes razón, no entiendo muy bien las vulnerabilidades aparecidas, y creía que con sólo estar conectado a Internet, me podían colar un script bash malintencionado y verme afectado. -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m0f0tf$mfs$1...@ger.gmane.org
Re: Bash vulnerable
El Mon, 29 Sep 2014 20:48:37 +0200, Eduardo Rios escribió: > El 29/09/14 a las 16:14, Camaleón escribió: >> El Sun, 28 Sep 2014 19:07:11 +0200, Eduardo Rios escribió: > > >>> Gracias. Pues ya se me pasa la paranoia ;) :) >> >> Pues ya puedes volver al modo paranoico que esto no ha acabado: >> >> Further flaws render Shellshock patch ineffective >> http://www.itnews.com.au/News/396256,further-flaws-render-shellshock- patch-ineffective.aspx > > Pues no entiendo muy bien, tanta alarma... o al menos, en mi caso. La alarma (totalmente justificada desde mi punto de vista) viene porque el objetivo de los sistemas vulnerables (sistemas que usen bash) afecta al 90% de los servicios/servidores/sistemas integrados y ese porcentaje es muy alto. > Se trata de un portátil domestico, que aunque tiene conexión a > Internet, no está encendido las 24 horas... (...) Entonces puedes roncar tranquilo ya que no tendrás ningún servicio expuesto al exterior (ni servidor web, ni ssh, etc...) y un ataque local es más improbable, aunque nunca está de más vigilar al gato ¬_¬ Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.30.14.40...@gmail.com
Re: Bash vulnerable
en realidad nadie tiene idea de q tan malo es el daño todos andan revisando sus app para ver si alguien de ellos cae en la vulnerabilidad hasta donde tengo entendido cualquier aplicacion q use una variable de entorno y de alguna forma salga a internet esa variable ya esta metido en lios Edward Villarroel: @Agentedd -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/cadfsjo0mmmr2junuhtcpjqgt1z+tea5pk9nkuiegpm3f-ws...@mail.gmail.com
Re: Bash vulnerable
El 29/09/2014 13:29, Eduardo Rios escribió: El 29/09/14 a las 20:56, Emmanuel Brenes escribió: Según entiendo el alcance es remoto, o sea, desde otros computadores se puede ver vulnerado el sistema, el detalle es en circunstancias muy particulares, como han dicho varios ya, a través de páginas que utilicen CGI -scripts que se ejecutan en el sistema como apoyo-, CUPS para imprimir y otros aspectos, no obstante el rango de ataque es alto, pero para una porción específica del "mercado". Para los usuarios finales, basta con actualizar el sistema, los Administradores de Sistemas, son los que tienen que concentrarse en más variables. Gracias Emmanuel. Pues nada, estaré pendiente de las futuras actualizaciones de bash, y procuraré no navegar demasiado por la red :) Eh, no, creo que no es necesario dejar de navegar... A ver, te lo pongo así, estás en problemas: - Si tienes un servidor que usa CGI para trabajar, corres peligro si no has corregido el problema. - Si usas CUPS y de alguna forma está disponible de forma pública -que ya es mucho decir lo inseguro que es. - Si le das el control a alguien de tu computador y NO hayas parcheado las vulnerabilidades. No estás en problemas: - Si usas tu computador en modo usuario final, o sea, para juegos, navegar en Internet, ver vídeos, descargar archivos -legalmente, etc. - Si usas tu computador como servidor pero está actualizado y con todos los parches al día. Así que ten paz, puedes navegar tranquilo y feliz, a menos que cumplas alguna de las pautas citas al inicio. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/blu437-smtp48052339692986ff6a95a8a1...@phx.gbl
Re: Bash vulnerable
El Mon, 29 Sep 2014 21:29:04 +0200 Eduardo Rios escribió: > El 29/09/14 a las 20:56, Emmanuel Brenes escribió: > > > > > Según entiendo el alcance es remoto, o sea, desde otros computadores se > > puede ver vulnerado el sistema, el detalle es en circunstancias muy > > particulares, como han dicho varios ya, a través de páginas que utilicen > > CGI -scripts que se ejecutan en el sistema como apoyo-, CUPS para > > imprimir y otros aspectos, no obstante el rango de ataque es alto, pero > > para una porción específica del "mercado". > > Para los usuarios finales, basta con actualizar el sistema, los > > Administradores de Sistemas, son los que tienen que concentrarse en más > > variables. > > Gracias Emmanuel. Pues nada, estaré pendiente de las futuras > actualizaciones de bash, y procuraré no navegar demasiado por la red :) > No entendiste nada. Que tiene que ver el que "navegues" por la red con la vulnerabilidad? > -- > www.LinuxCounter.net > > Registered user #558467 > has 2 linux machines > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: https://lists.debian.org/m0cbu1$s4d$1...@ger.gmane.org > -- Angel Claudio Alvarez -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140929192126.1c44d24b6969efbdb81cd...@angel-alvarez.com.ar
Re: Bash vulnerable
El Mon, 29 Sep 2014 20:48:37 +0200 Eduardo Rios escribió: > El 29/09/14 a las 16:14, Camaleón escribió: > > El Sun, 28 Sep 2014 19:07:11 +0200, Eduardo Rios escribió: > > > >> Gracias. Pues ya se me pasa la paranoia ;) :) > > > > Pues ya puedes volver al modo paranoico que esto no ha acabado: > > > > Further flaws render Shellshock patch ineffective > > http://www.itnews.com.au/News/396256,further-flaws-render-shellshock-patch-ineffective.aspx > > Pues no entiendo muy bien, tanta alarma... o al menos, en mi caso. > Se trata de un portátil domestico, que aunque tiene conexión a Internet, > no está encendido las 24 horas... > > Para que pudieran aprovechar las vulnerabilidades, ¿tendría que ser yo > quien descargara y ejecutara un script bash malintencionado, ¿no? ¿O > pueden ejecutar un bash en mi equipo por estar conectado a Internet? > > Es que si tengo que interactuar yo, no entiendo tanta alarma. No > descargo nada de sitios "dudosos", y solo instalo/actualizo desde los > repositorios oficiales... > > ¿O es que no me estoy enterando de la película? > No se te ocurrio leer sobre la vulnerabilidad y como afecta a servidores?? Hay mucha documentacion dando vueltas, que la verdad comentarlo aca seria redundante > Gracias. > > > -- > www.LinuxCounter.net > > Registered user #558467 > has 2 linux machines > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: https://lists.debian.org/m0c9i5$idp$1...@ger.gmane.org > -- Angel Claudio Alvarez -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140929191943.7532baaa740123346e9e2...@angel-alvarez.com.ar
Re: Bash vulnerable
El 29/09/14 a las 20:56, Emmanuel Brenes escribió: Según entiendo el alcance es remoto, o sea, desde otros computadores se puede ver vulnerado el sistema, el detalle es en circunstancias muy particulares, como han dicho varios ya, a través de páginas que utilicen CGI -scripts que se ejecutan en el sistema como apoyo-, CUPS para imprimir y otros aspectos, no obstante el rango de ataque es alto, pero para una porción específica del "mercado". Para los usuarios finales, basta con actualizar el sistema, los Administradores de Sistemas, son los que tienen que concentrarse en más variables. Gracias Emmanuel. Pues nada, estaré pendiente de las futuras actualizaciones de bash, y procuraré no navegar demasiado por la red :) -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m0cbu1$s4d$1...@ger.gmane.org
Re: Bash vulnerable
El 29/09/2014 12:48, Eduardo Rios escribió: El 29/09/14 a las 16:14, Camaleón escribió: El Sun, 28 Sep 2014 19:07:11 +0200, Eduardo Rios escribió: Gracias. Pues ya se me pasa la paranoia ;) :) Pues ya puedes volver al modo paranoico que esto no ha acabado: Further flaws render Shellshock patch ineffective http://www.itnews.com.au/News/396256,further-flaws-render-shellshock-patch-ineffective.aspx Pues no entiendo muy bien, tanta alarma... o al menos, en mi caso. Se trata de un portátil domestico, que aunque tiene conexión a Internet, no está encendido las 24 horas... Para que pudieran aprovechar las vulnerabilidades, ¿tendría que ser yo quien descargara y ejecutara un script bash malintencionado, ¿no? ¿O pueden ejecutar un bash en mi equipo por estar conectado a Internet? Es que si tengo que interactuar yo, no entiendo tanta alarma. No descargo nada de sitios "dudosos", y solo instalo/actualizo desde los repositorios oficiales... ¿O es que no me estoy enterando de la película? Gracias. Según entiendo el alcance es remoto, o sea, desde otros computadores se puede ver vulnerado el sistema, el detalle es en circunstancias muy particulares, como han dicho varios ya, a través de páginas que utilicen CGI -scripts que se ejecutan en el sistema como apoyo-, CUPS para imprimir y otros aspectos, no obstante el rango de ataque es alto, pero para una porción específica del "mercado". Para los usuarios finales, basta con actualizar el sistema, los Administradores de Sistemas, son los que tienen que concentrarse en más variables. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/blu437-smtp104f84d6e6979d32086701fa1...@phx.gbl
Re: Bash vulnerable
El 29/09/14 a las 16:14, Camaleón escribió: El Sun, 28 Sep 2014 19:07:11 +0200, Eduardo Rios escribió: Gracias. Pues ya se me pasa la paranoia ;) :) Pues ya puedes volver al modo paranoico que esto no ha acabado: Further flaws render Shellshock patch ineffective http://www.itnews.com.au/News/396256,further-flaws-render-shellshock-patch-ineffective.aspx Pues no entiendo muy bien, tanta alarma... o al menos, en mi caso. Se trata de un portátil domestico, que aunque tiene conexión a Internet, no está encendido las 24 horas... Para que pudieran aprovechar las vulnerabilidades, ¿tendría que ser yo quien descargara y ejecutara un script bash malintencionado, ¿no? ¿O pueden ejecutar un bash en mi equipo por estar conectado a Internet? Es que si tengo que interactuar yo, no entiendo tanta alarma. No descargo nada de sitios "dudosos", y solo instalo/actualizo desde los repositorios oficiales... ¿O es que no me estoy enterando de la película? Gracias. -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m0c9i5$idp$1...@ger.gmane.org
Re: Bash vulnerable
El Mon, 29 Sep 2014 16:30:32 +0200, Luis Felipe Tabera Alonso escribió: > On Monday 29 September 2014 14:14:53 Camaleón wrote: >> Pues ya puedes volver al modo paranoico que esto no ha acabado: >> >> Further flaws render Shellshock patch ineffective >> http://www.itnews.com.au/News/396256,further-flaws-render-shellshock-patch-i >> neffective.aspx >> >> Saludos malvados >:-) > > ¿Es viable desinstalar bash en debian? Me imagino que no al ser algo > tan esencial. Ya uso dash como bin/sh pero no me fío. Si tienes otro intérprete de comandos instalado y activado sí, pero vaya, en Wheezy veo que están instalados los dos, bash y dash. Tampoco hay muchos paquetes que dependan de bash. > De hecho, estoy apagando los apaches de mi server particular hasta que > pase la tormenta. Con decirle al sistema que use dash suficiente... hasta que se descubra que también es vulnerable (juas, jua) }:-P Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.29.15.30...@gmail.com
Re: Bash vulnerable
On Monday 29 September 2014 14:14:53 Camaleón wrote: > Pues ya puedes volver al modo paranoico que esto no ha acabado: > > Further flaws render Shellshock patch ineffective > http://www.itnews.com.au/News/396256,further-flaws-render-shellshock-patch-i > neffective.aspx > > Saludos malvados >:-) ¿Es viable desinstalar bash en debian? Me imagino que no al ser algo tan esencial. Ya uso dash como bin/sh pero no me fío. De hecho, estoy apagando los apaches de mi server particular hasta que pase la tormenta. Luis -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1781636.uiQJXesYnP@mychabol
Re: Bash vulnerable
El Sun, 28 Sep 2014 19:07:11 +0200, Eduardo Rios escribió: > El 28/09/14 a las 19:02, Manolo Díaz escribió: >> El domingo, 28 sep 2014 a las 18:55 horas (UTC+2), >> Eduardo Rios escribió: >> >>> El 28/09/14 a las 18:03, Fabián Bonetti escribió: >>> Esas no son las pruebas correctas. Las correctas están aquí > https://shellshocker.net/ >>> >>> Vamos allá: >>> >>> Exploit 1 (CVE-2014-6271) >>> >>> Exploit 2 (CVE-2014-7169) >>> >>> Exploit 3 (???) >>> >>> Exploit 4 (CVE-2014-7186) >>> Exploit 5 (CVE-2014-7187) >>> ¿Es vulnerable a alguno de los 5 test? >> >> No. > > Gracias. Pues ya se me pasa la paranoia ;) :) Pues ya puedes volver al modo paranoico que esto no ha acabado: Further flaws render Shellshock patch ineffective http://www.itnews.com.au/News/396256,further-flaws-render-shellshock-patch-ineffective.aspx Saludos malvados >:-) -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.29.14.14...@gmail.com
Re: Bash vulnerable
si me temo q no sirve de nada por q los tengo apuntando a la ram para q no gastar el ssd Edward Villarroel: @Agentedd El día 28 de septiembre de 2014, 20:48, Aradenatorix Veckhom Vacelaevus escribió: > El 28 de septiembre de 2014, 20:04, Edward Villarroel (EDD) escribió: >> buenas noches comunidad >> >> recientemente hace 20min >> >> me encontraba navegando por la web cuando la máquina se apago >> >> pero se apago como si con la root le fueran puesto poweroff > > ¿como sabes eso? >> >> creen q tenga algo q ver con esto ? > > ¿ya miraste los archivos log? ¿aparece algo ahí que te haga sospechar esto? -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CADfsJo338Rb0=bo-mZ52np97RphrE=1v6bcr8xs9sw6aguf...@mail.gmail.com
Re: Bash vulnerable
El 28 de septiembre de 2014, 20:04, Edward Villarroel (EDD) escribió: > buenas noches comunidad > > recientemente hace 20min > > me encontraba navegando por la web cuando la máquina se apago > > pero se apago como si con la root le fueran puesto poweroff ¿como sabes eso? > > creen q tenga algo q ver con esto ? ¿ya miraste los archivos log? ¿aparece algo ahí que te haga sospechar esto? -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAACnk7bWxm1CAkTW9sT_BgS1yfbh52a=__f_e1ogjnpv39a...@mail.gmail.com
Re: Bash vulnerable
buenas noches comunidad recientemente hace 20min me encontraba navegando por la web cuando la maquina se apago pero se apago como si con la root le fueran puesto poweroff creen q tenga algo q ver con esto ? -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CADfsJo1=aF_dU_PZLmtc3FOYr6O5TD1oYw=c+sub7fq0rhv...@mail.gmail.com
Re: Bash vulnerable
El 28/09/14 a las 19:02, Manolo Díaz escribió: El domingo, 28 sep 2014 a las 18:55 horas (UTC+2), Eduardo Rios escribió: El 28/09/14 a las 18:03, Fabián Bonetti escribió: Esas no son las pruebas correctas. Las correctas están aquí > https://shellshocker.net/ Vamos allá: Exploit 1 (CVE-2014-6271) Exploit 2 (CVE-2014-7169) Exploit 3 (???) Exploit 4 (CVE-2014-7186) Exploit 5 (CVE-2014-7187) ¿Es vulnerable a alguno de los 5 test? No. Gracias. Pues ya se me pasa la paranoia ;) :) -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m09f7v$o9u$1...@ger.gmane.org
Re: Bash vulnerable
El domingo, 28 sep 2014 a las 18:55 horas (UTC+2), Eduardo Rios escribió: >El 28/09/14 a las 18:03, Fabián Bonetti escribió: > >> Esas no son las pruebas correctas. >> >> Las correctas están aquí > https://shellshocker.net/ > >Vamos allá: > >Exploit 1 (CVE-2014-6271) > >edurios@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this >is a test" >this is a test >edurios@debian:~$ > >Exploit 2 (CVE-2014-7169) > >edurios@debian:~$ env X='() { (shellshocker.net)=>\' bash -c "echo >date"; cat echo ; rm -f echo >date >cat: echo: No existe el fichero o el directorio >edurios@debian:~$ > >Exploit 3 (???) > >edurios@debian:~$ env -i X=' () { }; echo hello' bash -c 'date' >Sun Sep 28 18:50:44 CEST 2014 >edurios@debian:~$ > >Exploit 4 (CVE-2014-7186) > >edurios@debian:~$ bash -c 'true << > echo "CVE-2014-7186 vulnerable, redir_stack" >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >bash: aviso: el documento-aquí en la línea 0 está delimitado por >fin-de-fichero (se esperaba `EOF') >edurios@debian:~$ > > >Exploit 5 (CVE-2014-7187) >edurios@debian:~$ (for x in {1..200} ; do echo "for x$x in ; do :"; >done; for x in {1..200} ; do echo done ; done) | bash || > > echo "CVE-2014-7187 vulnerable, word_lineno" >edurios@debian:~$ > > >¿Es vulnerable a alguno de los 5 test? No. -- Manolo Díaz -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140928190213.24a58...@gmail.com
Re: Bash vulnerable
El 28/09/14 a las 18:03, Fabián Bonetti escribió: Esas no son las pruebas correctas. Las correctas están aquí > https://shellshocker.net/ Vamos allá: Exploit 1 (CVE-2014-6271) edurios@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" this is a test edurios@debian:~$ Exploit 2 (CVE-2014-7169) edurios@debian:~$ env X='() { (shellshocker.net)=>\' bash -c "echo date"; cat echo ; rm -f echo date cat: echo: No existe el fichero o el directorio edurios@debian:~$ Exploit 3 (???) edurios@debian:~$ env -i X=' () { }; echo hello' bash -c 'date' Sun Sep 28 18:50:44 CEST 2014 edurios@debian:~$ Exploit 4 (CVE-2014-7186) edurios@debian:~$ bash -c 'true << > echo "CVE-2014-7186 vulnerable, redir_stack" bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') bash: aviso: el documento-aquí en la línea 0 está delimitado por fin-de-fichero (se esperaba `EOF') edurios@debian:~$ Exploit 5 (CVE-2014-7187) edurios@debian:~$ (for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash || > echo "CVE-2014-7187 vulnerable, word_lineno" edurios@debian:~$ ¿Es vulnerable a alguno de los 5 test? -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m09ei3$gff$1...@ger.gmane.org
Re: Bash vulnerable
El Sun, 28 Sep 2014 17:43:55 +0200, Eduardo Rios escribió: > El 28/09/14 a las 17:36, Camaleón escribió: (...) >>> edurios@debian:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c >>> "echo Fallo 2 sin parchear" >>> vulnerable Fallo 2 sin parchear edurios@debian:~$ >> >> En wheezy dice lo mismo: >> >> sm01@stt008:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c >> "echo Fallo 2 sin parchear" vulnerable Fallo 2 sin parchear >> >> El comando será incorrecto, prueba con estos otros dos: >> >> http://serverfault.com/questions/631257/how-to-test-if-my-server-is- vulnerable-to-the-shellshock-bug >> > Estos son los resultados de las pruebas del enlace: > > edurios@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this > is a test" > this is a test edurios@debian:~$ cd /tmp; env X='() { (a)=>\' bash -c > "echo date"; cat echo date cat: echo: No existe el fichero o el > directorio edurios@debian:/tmp$ > > Como se puede apreciar, el primer bug si está corregido, pero el > segundo, no. Hay que leer más despacio ;-) Lo que dice es que si ves la palabra "date" y un error (tu caso) no es vulnerable. Si aparece el resultado del comando (la fecha) entonces sí. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.28.16.01...@gmail.com
Re: Bash vulnerable
On Sun, 28 Sep 2014 17:43:55 +0200 Eduardo Rios wrote: Esas no son las pruebas correctas. Las correctas están aquí > https://shellshocker.net/ -- Servicios:. http://mamalibre.com.ar/plus MamaLibre, Casa en Lincoln, Ituzaingo 1085 CP6070, Buenos Aires, Argentina pgpPPCmrhhi2R.pgp Description: PGP signature
Re: Bash vulnerable
El 28/09/14 a las 16:06, Manolo Díaz escribió: El domingo, 28 sep 2014 a las 15:45 horas (UTC+2), Eduardo Rios escribió: El 28/09/14 a las 15:35, Manolo Díaz escribió: El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), Eduardo Rios escribió: El 25/09/14 a las 20:54, Eduardo Rios escribió: El 25/09/14 a las 20:01, Angel Vicente escribió: Para testing todavía no hay ¿no? A mi por lo menos si me ha salido actualización, aunque eso si, sólo para el primer fallo. Queda pendiente para el segundo. He pasado de bash 4.3-9 a 4.3-9.1 Hoy he actualizado a bash 4.3-9.2 y creía que estaba resuelto el segundo fallo, pero no, sigue siendo vulnerable. Pues yo diría que ya no lo es: https://security-tracker.debian.org/tracker/CVE-2014-7169 Pues ahí dirá que no, pero teniendo bash 4.3-9.2, este es el resultado: edurios@debian:~$ "echo Fallo 2 sin parchear" vulnerable Fallo 2 sin parchear edurios@debian:~$ ¿Y esa prueba? La saqué de aquí: http://www.genbeta.com/seguridad/como-una-vulnerabilidad-en-bash-de-linux-os-x-y-nix-es-un-gran-problema-de-seguridad-para-todo-internet -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m09ai1$r9v$2...@ger.gmane.org
Re: Bash vulnerable
El 28/09/14 a las 17:36, Camaleón escribió: El Sun, 28 Sep 2014 15:45:35 +0200, Eduardo Rios escribió: El 28/09/14 a las 15:35, Manolo Díaz escribió: El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), Eduardo Rios escribió: El 25/09/14 a las 20:54, Eduardo Rios escribió: El 25/09/14 a las 20:01, Angel Vicente escribió: Para testing todavía no hay ¿no? A mi por lo menos si me ha salido actualización, aunque eso si, sólo para el primer fallo. Queda pendiente para el segundo. He pasado de bash 4.3-9 a 4.3-9.1 Hoy he actualizado a bash 4.3-9.2 y creía que estaba resuelto el segundo fallo, pero no, sigue siendo vulnerable. Te ha dado fuerte con el bug ¿eh? :-) Pues yo diría que ya no lo es: https://security-tracker.debian.org/tracker/CVE-2014-7169 Exacto, no lo es. Pues ahí dirá que no, pero teniendo bash 4.3-9.2, este es el resultado: edurios@debian:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear" vulnerable Fallo 2 sin parchear edurios@debian:~$ En wheezy dice lo mismo: sm01@stt008:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear" vulnerable Fallo 2 sin parchear El comando será incorrecto, prueba con estos otros dos: http://serverfault.com/questions/631257/how-to-test-if-my-server-is-vulnerable-to-the-shellshock-bug Saludos, Estos son los resultados de las pruebas del enlace: edurios@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" this is a test edurios@debian:~$ cd /tmp; env X='() { (a)=>\' bash -c "echo date"; cat echo date cat: echo: No existe el fichero o el directorio edurios@debian:/tmp$ Como se puede apreciar, el primer bug si está corregido, pero el segundo, no. -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m09abs$r9v$1...@ger.gmane.org
Re: Bash vulnerable
El Sun, 28 Sep 2014 15:45:35 +0200, Eduardo Rios escribió: > El 28/09/14 a las 15:35, Manolo Díaz escribió: >> El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), Eduardo Rios >> escribió: >> >>> El 25/09/14 a las 20:54, Eduardo Rios escribió: El 25/09/14 a las 20:01, Angel Vicente escribió: > Para testing todavía no hay ¿no? A mi por lo menos si me ha salido actualización, aunque eso si, sólo para el primer fallo. Queda pendiente para el segundo. He pasado de bash 4.3-9 a 4.3-9.1 >>> Hoy he actualizado a bash 4.3-9.2 y creía que estaba resuelto el >>> segundo fallo, pero no, sigue siendo vulnerable. Te ha dado fuerte con el bug ¿eh? :-) >> Pues yo diría que ya no lo es: >> >> https://security-tracker.debian.org/tracker/CVE-2014-7169 Exacto, no lo es. > Pues ahí dirá que no, pero teniendo bash 4.3-9.2, este es el resultado: > > edurios@debian:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo > Fallo 2 sin parchear" > vulnerable Fallo 2 sin parchear > edurios@debian:~$ En wheezy dice lo mismo: sm01@stt008:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear" vulnerable Fallo 2 sin parchear El comando será incorrecto, prueba con estos otros dos: http://serverfault.com/questions/631257/how-to-test-if-my-server-is-vulnerable-to-the-shellshock-bug Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.28.15.36...@gmail.com
Re: Bash vulnerable
El domingo, 28 sep 2014 a las 16:06 horas (UTC+2), Manolo Díaz escribió: >pero si ese es un fallo, el shell dash también lo tiene. Y el zsh. No sé de dónde has sacado el test, pero no parece probar nada. Saludos. -- Manolo Díaz -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140928162650.0236e...@gmail.com
Re: Bash vulnerable
El domingo, 28 sep 2014 a las 15:45 horas (UTC+2), Eduardo Rios escribió: >El 28/09/14 a las 15:35, Manolo Díaz escribió: >> El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), >> Eduardo Rios escribió: >> >>> El 25/09/14 a las 20:54, Eduardo Rios escribió: El 25/09/14 a las 20:01, Angel Vicente escribió: > Para testing todavía no hay ¿no? A mi por lo menos si me ha salido actualización, aunque eso si, sólo para el primer fallo. Queda pendiente para el segundo. He pasado de bash 4.3-9 a 4.3-9.1 >>> >>> Hoy he actualizado a bash 4.3-9.2 y creía que estaba resuelto el segundo >>> fallo, pero no, sigue siendo vulnerable. >>> >> >> Pues yo diría que ya no lo es: >> >> https://security-tracker.debian.org/tracker/CVE-2014-7169 >> > >Pues ahí dirá que no, pero teniendo bash 4.3-9.2, este es el resultado: > >edurios@debian:~$ >"echo Fallo 2 sin parchear" >vulnerable >Fallo 2 sin parchear >edurios@debian:~$ ¿Y esa prueba? La verdad es que no se cuál debe ser el comportamiento de env cuando defines mal la variable de entorno, pero si ese es un fallo, el shell dash también lo tiene. Imagino que lo que hace es ignorar la definición de la variable X y ejecutar la órdenes pedidas sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear" Por cierto, sh es dash en Debian a menos que el administrador decida otra cosa. ¿Alguien tiene conocimientos al respecto? Saludos. -- Manolo Díaz -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140928160634.0367b...@gmail.com
Re: Bash vulnerable
El 28/09/14 a las 15:35, Manolo Díaz escribió: El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), Eduardo Rios escribió: El 25/09/14 a las 20:54, Eduardo Rios escribió: El 25/09/14 a las 20:01, Angel Vicente escribió: Para testing todavía no hay ¿no? A mi por lo menos si me ha salido actualización, aunque eso si, sólo para el primer fallo. Queda pendiente para el segundo. He pasado de bash 4.3-9 a 4.3-9.1 Hoy he actualizado a bash 4.3-9.2 y creía que estaba resuelto el segundo fallo, pero no, sigue siendo vulnerable. Pues yo diría que ya no lo es: https://security-tracker.debian.org/tracker/CVE-2014-7169 Pues ahí dirá que no, pero teniendo bash 4.3-9.2, este es el resultado: edurios@debian:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear" vulnerable Fallo 2 sin parchear edurios@debian:~$ -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m093e0$c7v$1...@ger.gmane.org
Re: Bash vulnerable
El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), Eduardo Rios escribió: >El 25/09/14 a las 20:54, Eduardo Rios escribió: >> El 25/09/14 a las 20:01, Angel Vicente escribió: >> >>> Para testing todavía no hay ¿no? >> >> A mi por lo menos si me ha salido actualización, aunque eso si, sólo >> para el primer fallo. Queda pendiente para el segundo. >> >> He pasado de bash 4.3-9 a 4.3-9.1 >> >> > >Hoy he actualizado a bash 4.3-9.2 y creía que estaba resuelto el segundo >fallo, pero no, sigue siendo vulnerable. > Pues yo diría que ya no lo es: https://security-tracker.debian.org/tracker/CVE-2014-7169 -- Manolo Díaz -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140928153526.3797a...@gmail.com
Re: Bash vulnerable
El 25/09/14 a las 20:54, Eduardo Rios escribió: El 25/09/14 a las 20:01, Angel Vicente escribió: Para testing todavía no hay ¿no? A mi por lo menos si me ha salido actualización, aunque eso si, sólo para el primer fallo. Queda pendiente para el segundo. He pasado de bash 4.3-9 a 4.3-9.1 Hoy he actualizado a bash 4.3-9.2 y creía que estaba resuelto el segundo fallo, pero no, sigue siendo vulnerable. -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m091nq$nc2$1...@ger.gmane.org
Re: Bash vulnerable
El Thu, 25 Sep 2014 18:44:30 -0600 Carlos Carcamo escribió: > El día 25 de septiembre de 2014, 16:19, Angel Claudio Alvarez > escribió: > > El Thu, 25 Sep 2014 11:17:06 -0300 > > ciracusa escribió: > > > >> Hola Lista, > >> > >> Alguien leyo algo de esta vulnerabilidad en BASH: > >> > >> env x='() { :;}; echo vulnerable' bash -c "echo this is a test" > >> > >> Muchas Gracias. > > > > cambia a dash si no tenes scripts demasiado complejos en bash, funcionan > > Hasta tanto arreglen el bug definitivamente (salio un parche pero no > > soluciona todo) > > Si tens servidores con apache y cgi, cambia urgente el shell. Lo mismo si > > tenes algun lenguaje que llame a comandos de sistema mediante > > system(comando) o similar > >> > >> Salu2. > >> > >> > >> > >> > >> > >> -- > >> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > >> with a subject of "unsubscribe". Trouble? Contact > >> listmas...@lists.debian.org > >> Archive: https://lists.debian.org/542423e2.8020...@gmail.com > >> > > > > > > -- > > Angel Claudio Alvarez > > > > > > -- > > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > > with a subject of "unsubscribe". Trouble? Contact > > listmas...@lists.debian.org > > Archive: > > https://lists.debian.org/20140925191953.829aaf3e2f5c722e70a57...@angel-alvarez.com.ar > > > > Recién ahora veo la noticia en internet, y que tan serio es el > problema? entiendo que se puede acceder remotamente, leo en internet > que es peor que HEARTBLEED, es esto cierto? > no se si es peor o no, lo que si es GRAVE > > -- > "El desarrollo no es material es un estado de conciencia mental" > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: > https://lists.debian.org/CADpTsTbWrLxfh=u2t-t389cikizzktrjrete7dhdd2nxwun...@mail.gmail.com > -- Angel Claudio Alvarez -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140927184814.392f564f6e3d12bda81a0...@angel-alvarez.com.ar
Re: Bash vulnerable
Échenle un vistazo a este articulo, está muy bien y muy claro respecto al bug en bash: http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html?m=1&utm_content=buffer94f89&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer Si ya sé que está en inglés y algo extenso, pero es me ha parecido muy bueno. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAACnk7Z2g-_aHG0HtWDd�OU0tKBH51k+1A=hjv_tyy+bv...@mail.gmail.com
Re: Bash vulnerable
El Fri, 26 Sep 2014 19:30:29 +0200, Eduardo Rios escribió: > El 26/09/14 a las 15:32, Camaleón escribió: >> El Thu, 25 Sep 2014 20:01:02 +0200, Angel Vicente escribió: > En Debian hay un parche desde ayer: https://www.debian.org/security/2014/dsa-3032 >>> >>> Para testing todavía no hay ¿no? >> 0 >> A testing y sid no les afecta "ese" parche. >> >> CVE-2014-6271 Debian/testing not vulnerable. >> Debian/unstable not vulnerable. > > ¿Como que no afecta a testing? La actualización de bash (4.3-9.1) para > testing, es justamente para corregir el bug CVE-2014-6271 > > ¿O hay algo que no he entendido bien? A ver, hay dos bugs/parches para este fallo: https://security-tracker.debian.org/tracker/CVE-2014-6271 https://security-tracker.debian.org/tracker/CVE-2014-7169 El primero de ellos (6271) no afecta a testing/sid, o eso es lo que indican en la página: Debian/testing not vulnerable. Debian/unstable not vulnerable. Seguramente pone eso porque habrán sacado el paquete con el parche ANTES de generar esa página del informe, por lo que a efectos prácticos y dada la naturaleza de testing que está en continuo cambio aparece como que no le afecta porque quien instala ahora mismo testing YA recibe el paquete parcheado. No es más que una mera cuestión "semántica" :-) El segundo de ellos (7169) sí afecta a testing/sid aunque para sid ya lo han corregido, por lo que sólo está pendiente para testing: Debian/testing package bash is vulnerable. Debian/unstable not vulnerable. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.27.13.49...@gmail.com
Re: Bash vulnerable
El 26/09/14 a las 15:32, Camaleón escribió: El Thu, 25 Sep 2014 20:01:02 +0200, Angel Vicente escribió: En Debian hay un parche desde ayer: https://www.debian.org/security/2014/dsa-3032 Para testing todavía no hay ¿no? 0 A testing y sid no les afecta "ese" parche. CVE-2014-6271 Debian/testing not vulnerable. Debian/unstable not vulnerable. ¿Como que no afecta a testing? La actualización de bash (4.3-9.1) para testing, es justamente para corregir el bug CVE-2014-6271 ¿O hay algo que no he entendido bien? -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m047rl$rlj$1...@ger.gmane.org
Re: Bash vulnerable
El Thu, 25 Sep 2014 20:01:02 +0200, Angel Vicente escribió: > El Thu, 25 Sep 2014 14:33:57 + (UTC) > Camaleón escribió: >> El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió: >> >> > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en >> > Hispasec [1] o en Security by Default [2] >> > >> > De nada, la búsqueda en internet ya la tenía hecha >> >> (...) >> >> En Debian hay un parche desde ayer: >> >> https://www.debian.org/security/2014/dsa-3032 > > Para testing todavía no hay ¿no? A testing y sid no les afecta "ese" parche. CVE-2014-6271 Debian/testing not vulnerable. Debian/unstable not vulnerable. > Ya he actualizado en el servidor que tenemos con stable. Y hoy mismo han sacado el parche que corrige lo que estaba pendiente: https://www.debian.org/security/2014/dsa-3035 Y este sí que está pendiente para testing, seguramente porque tienen que esperar unos días antes de pasar el paquete de sid a testing, como es habitual. CVE-2014-7169 Debian/testing package bash is vulnerable. Debian/unstable not vulnerable. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.26.13.32...@gmail.com
Re: Bash vulnerable
On Thu, 25 Sep 2014 21:55:30 -0300 Fabián Bonetti wrote: El segundo > http://pegartexto.ml/view/c4298397 -- Servicios:. http://mamalibre.com.ar/plus MamaLibre, Casa en Lincoln, Ituzaingo 1085 CP6070, Buenos Aires, Argentina pgpqI5LpmuABA.pgp Description: PGP signature
Re: Bash vulnerable
On Thu, 25 Sep 2014 18:44:30 -0600 Carlos Carcamo wrote: Para ponerte al corriente > http://blog.mamalibre.com.ar/post/shellshock-es-un-bug-de-bash Me dicen que apareció el segundo parche para debian. Mas información > https://www.us-cert.gov/ncas/alerts/TA14-268A Saludos -- Servicios:. http://mamalibre.com.ar/plus MamaLibre, Casa en Lincoln, Ituzaingo 1085 CP6070, Buenos Aires, Argentina pgpbYQid71kaX.pgp Description: PGP signature
Re: Bash vulnerable
El día 25 de septiembre de 2014, 16:19, Angel Claudio Alvarez escribió: > El Thu, 25 Sep 2014 11:17:06 -0300 > ciracusa escribió: > >> Hola Lista, >> >> Alguien leyo algo de esta vulnerabilidad en BASH: >> >> env x='() { :;}; echo vulnerable' bash -c "echo this is a test" >> >> Muchas Gracias. > > cambia a dash si no tenes scripts demasiado complejos en bash, funcionan > Hasta tanto arreglen el bug definitivamente (salio un parche pero no > soluciona todo) > Si tens servidores con apache y cgi, cambia urgente el shell. Lo mismo si > tenes algun lenguaje que llame a comandos de sistema mediante system(comando) > o similar >> >> Salu2. >> >> >> >> >> >> -- >> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org >> Archive: https://lists.debian.org/542423e2.8020...@gmail.com >> > > > -- > Angel Claudio Alvarez > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: > https://lists.debian.org/20140925191953.829aaf3e2f5c722e70a57...@angel-alvarez.com.ar > Recién ahora veo la noticia en internet, y que tan serio es el problema? entiendo que se puede acceder remotamente, leo en internet que es peor que HEARTBLEED, es esto cierto? -- "El desarrollo no es material es un estado de conciencia mental" -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CADpTsTbWrLxfh=u2t-t389cikizzktrjrete7dhdd2nxwun...@mail.gmail.com
Re: Bash vulnerable
El Thu, 25 Sep 2014 11:17:06 -0300 ciracusa escribió: > Hola Lista, > > Alguien leyo algo de esta vulnerabilidad en BASH: > > env x='() { :;}; echo vulnerable' bash -c "echo this is a test" > > Muchas Gracias. cambia a dash si no tenes scripts demasiado complejos en bash, funcionan Hasta tanto arreglen el bug definitivamente (salio un parche pero no soluciona todo) Si tens servidores con apache y cgi, cambia urgente el shell. Lo mismo si tenes algun lenguaje que llame a comandos de sistema mediante system(comando) o similar > > Salu2. > > > > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: https://lists.debian.org/542423e2.8020...@gmail.com > -- Angel Claudio Alvarez -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140925191953.829aaf3e2f5c722e70a57...@angel-alvarez.com.ar
Re: Bash vulnerable
On 25/09/14 20:54, Eduardo Rios wrote: El 25/09/14 a las 20:01, Angel Vicente escribió: Para testing todavía no hay ¿no? A mi por lo menos si me ha salido actualización, aunque eso si, sólo para el primer fallo. Queda pendiente para el segundo. He pasado de bash 4.3-9 a 4.3-9.1 Idem. Es la versión que lo corrije (al menos el primer patch) de unstable a testing [0][1]: Version: 4.3-9.1 Changes: bash (4.3-9.1) unstable; urgency=high . * Non-maintainer upload by the security team * Apply upstream patch bash43-025, fixing CVE-2014-6271. [0] https://packages.qa.debian.org/b/bash/news/20140924T193346Z.html [1] https://packages.qa.debian.org/b/bash/news/20140925T163916Z.html Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5424803e.2050...@enchufado.com
Re: Bash vulnerable
El 25/09/14 a las 20:01, Angel Vicente escribió: Para testing todavía no hay ¿no? A mi por lo menos si me ha salido actualización, aunque eso si, sólo para el primer fallo. Queda pendiente para el segundo. He pasado de bash 4.3-9 a 4.3-9.1 -- www.LinuxCounter.net Registered user #558467 has 2 linux machines -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m01ocb$do2$1...@ger.gmane.org
Re: Bash vulnerable
Será por eso que oficialmente se recomienda stable o unstable? https://www.debian.org/doc/manuals/debian-faq/ch-choosing.en.html#s3.1 On 25 de septiembre de 2014 1:01:02 PM GMT-05:00, Angel Vicente wrote: >-BEGIN PGP SIGNED MESSAGE- >Hash: SHA256 > >El Thu, 25 Sep 2014 14:33:57 + (UTC) >Camaleón escribió: >> El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió: >> >> > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en >> > Hispasec [1] o en Security by Default [2] >> > >> > De nada, la búsqueda en internet ya la tenía hecha >> >> (...) >> >> En Debian hay un parche desde ayer: >> >> https://www.debian.org/security/2014/dsa-3032 > >Para testing todavía no hay ¿no? > >Ya he actualizado en el servidor que tenemos con stable. > >> >> Saludos, >> > > > >- -- >Key fingerprint 01DC 0386 2B28 0A02 A270 E243 008B AABF 1822 9851 >-BEGIN PGP SIGNATURE- >Version: GnuPG v2 > >iF4EAREIAAYFAlQkWG4ACgkQAIuqvxgimFEoRgD9G2rDuPieT5KMEwlj5b8KKOPe >pXaoLa92RaAju+OCQC4A/1jLxkPW8qBBmsZmDv4HGy9jpo2WHql4djRZB+l/LCZe >=d9Mo >-END PGP SIGNATURE- -- Germán Avendaño Ramírez Lic. Mat. U.D., M.Sc. U.N. Delegado ADE Delegado VI Congreso Nal. CUT Enviado desde mi teléfono con K-9 Mail.
Re: Bash vulnerable
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 El Thu, 25 Sep 2014 14:33:57 + (UTC) Camaleón escribió: > El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió: > > > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en > > Hispasec [1] o en Security by Default [2] > > > > De nada, la búsqueda en internet ya la tenía hecha > > (...) > > En Debian hay un parche desde ayer: > > https://www.debian.org/security/2014/dsa-3032 Para testing todavía no hay ¿no? Ya he actualizado en el servidor que tenemos con stable. > > Saludos, > - -- Key fingerprint 01DC 0386 2B28 0A02 A270 E243 008B AABF 1822 9851 -BEGIN PGP SIGNATURE- Version: GnuPG v2 iF4EAREIAAYFAlQkWG4ACgkQAIuqvxgimFEoRgD9G2rDuPieT5KMEwlj5b8KKOPe pXaoLa92RaAju+OCQC4A/1jLxkPW8qBBmsZmDv4HGy9jpo2WHql4djRZB+l/LCZe =d9Mo -END PGP SIGNATURE-
Re: Bash vulnerable
El Thu, 25 Sep 2014 13:27:02 -0300, Fabián Bonetti escribió: > Pre-udate: > > root@debian:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a > test" > vulnerable this is a test root@debian:~# > > Post-update: > > root@debian:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a > test" > bash: warning: x: ignoring function definition attempt bash: error > importing function definition for `x' > this is a test > > > Fuente > http://www.murga-linux.com/puppy/viewtopic.php?p=800655#800655 Eso es para el primer parche. Queda el segundo: https://security-tracker.debian.org/tracker/CVE-2014-7169 Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.25.16.56...@gmail.com
Re: Bash vulnerable
Pre-udate: root@debian:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test root@debian:~# Post-update: root@debian:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test Fuente > http://www.murga-linux.com/puppy/viewtopic.php?p=800655#800655 -- Servicios:. http://mamalibre.com.ar/plus MamaLibre, Casa en Lincoln, Ituzaingo 1085 CP6070, Buenos Aires, Argentina pgpOxcx1TeOvl.pgp Description: PGP signature
Re: Bash vulnerable
El Thu, 25 Sep 2014 18:02:16 +0200, Luis Felipe Tabera Alonso escribió: > On Thursday 25 September 2014 14:33:57 Camaleón wrote: >> El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió: >> > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en >> > Hispasec [1] o en Security by Default [2] >> > >> > De nada, la búsqueda en internet ya la tenía hecha >> >> (...) >> >> En Debian hay un parche desde ayer: >> >> https://www.debian.org/security/2014/dsa-3032 >> > > Estad atentos, porque aunque hay un parche, parece que no protege > completamente la vulnerabilidad > > CVE-2014-7169 > > Se afirmaba que se podría utilizar para ejecutar comando arbitrarios a > través del dhcp!! Sí, se trata de la misma vulnerabilidad por lo que el parche que han sacado corrige parcialmente el fallo. Habrá que estar pendientes de una nueva actualización. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.25.16.13...@gmail.com
Re: Bash vulnerable
On Thursday 25 September 2014 14:33:57 Camaleón wrote: > El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió: > > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en > > Hispasec [1] o en Security by Default [2] > > > > De nada, la búsqueda en internet ya la tenía hecha > > (...) > > En Debian hay un parche desde ayer: > > https://www.debian.org/security/2014/dsa-3032 > > Saludos, Estad atentos, porque aunque hay un parche, parece que no protege completamente la vulnerabilidad CVE-2014-7169 Se afirmaba que se podría utilizar para ejecutar comando arbitrarios a través del dhcp!! Luis -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/6062639.Hhr8MZO8zs@mychabol
Re: Bash vulnerable
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 2014-09-25 11:17 GMT-03:00 ciracusa : > Hola Lista, > > Alguien leyo algo de esta vulnerabilidad en BASH: > > env x='() { :;}; echo vulnerable' bash -c "echo this is a test" > > Muchas Gracias. > > Salu2. > Acá el PoC de la vulnerabilidad [1] [1] http://blog.segu-info.com.ar/2014/09/grave-vulnerabilidad-en-bash-y-otros.html -BEGIN PGP SIGNATURE- Version: OpenPGP.js v0.5.1 Comment: http://openpgpjs.org wsBcBAEBCAAQBQJUJCtdCRDP17wMFuiP8AAAzHEH/0at+acGXVr9iJq2aC4y RbUibML7UZ06WhplhhIL/8+hREWjnl7GyB+jR5xV9rfmAeGMIXfTffbEtzEh winp+Cb57d8NXtibiPBEx5NcCezjdfi1p7ATShNHhlMmZUGemq3B53iFbs+f QmYJH8VP1y9I6jxWXMykpKGEqfQn98NzwLl3Kz5ki2gsr7D9Jr9STD60W+E0 vUADm+lMBO77tvuqSfvzVpA2p230vruq9tfGlC8UIDWkaYUcWrTJp0T1q1qY B/ecB44Xu+8sGcz9HZXe7tNXF/T4D9lyloTjTyruQLzrCBhRPuHfr0RNxRCL YHKBVuvuOtj7gJe3gdRqMFo= =UWEC -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/ca+wixxgwuwogmtpqazwv-vnms+0ybczusn+ti2jdqhwj2u2...@mail.gmail.com
Re: Bash vulnerable
El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió: > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en > Hispasec [1] o en Security by Default [2] > > De nada, la búsqueda en internet ya la tenía hecha (...) En Debian hay un parche desde ayer: https://www.debian.org/security/2014/dsa-3032 Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.09.25.14.33...@gmail.com
Re: Bash vulnerable
El 25/09/14 16:17, ciracusa escribió: > Hola Lista, > > Alguien leyo algo de esta vulnerabilidad en BASH: > > env x='() { :;}; echo vulnerable' bash -c "echo this is a test" > > Muchas Gracias. > > Salu2. > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en Hispasec [1] o en Security by Default [2] De nada, la búsqueda en internet ya la tenía hecha [1]http://unaaldia.hispasec.com/2014/09/bash-significa-golpe-porrazo-o-castana.html?showComment=1411653056630#c3991696534347351726 [2]http://www.securitybydefault.com/2014/09/grave-vulnerabilidad-en-bash-y-otros.html -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54242692.9050...@gmail.com
Re: Bash vulnerable
El 25/09/2014 16:23, "ciracusa" escribió: > > Hola Lista, > > Alguien leyo algo de esta vulnerabilidad en BASH: > > env x='() { :;}; echo vulnerable' bash -c "echo this is a test" > > Muchas Gracias. > > Salu2. > > > > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: https://lists.debian.org/542423e2.8020...@gmail.com > Si, hablan de ello en res hat: http://blog.desdelinux.net/bash-vulnerabilidad-detectada/