El 25/09/2014 16:23, "ciracusa" escribió:
>
> Hola Lista,
>
> Alguien leyo algo de esta vulnerabilidad en BASH:
>
> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
>
> Muchas Gracias.
>
> Salu2.
>
>
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
El 25/09/14 16:17, ciracusa escribió:
> Hola Lista,
>
> Alguien leyo algo de esta vulnerabilidad en BASH:
>
> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
>
> Muchas Gracias.
>
> Salu2.
>
Sí. Su referencia es: CVE-2014-6271
Hablan de ella por ejemplo en Hispasec [1] o en Se
El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió:
> Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en
> Hispasec [1] o en Security by Default [2]
>
> De nada, la búsqueda en internet ya la tenía hecha
(...)
En Debian hay un parche desde ayer:
https://www.debian
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256
2014-09-25 11:17 GMT-03:00 ciracusa :
> Hola Lista,
>
> Alguien leyo algo de esta vulnerabilidad en BASH:
>
> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
>
> Muchas Gracias.
>
> Salu2.
>
Acá el PoC de la vulnerabilidad [1]
[1]
On Thursday 25 September 2014 14:33:57 Camaleón wrote:
> El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió:
> > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en
> > Hispasec [1] o en Security by Default [2]
> >
> > De nada, la búsqueda en internet ya la tenía hecha
El Thu, 25 Sep 2014 18:02:16 +0200, Luis Felipe Tabera Alonso escribió:
> On Thursday 25 September 2014 14:33:57 Camaleón wrote:
>> El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió:
>> > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en
>> > Hispasec [1] o en Secur
Pre-udate:
root@debian:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
root@debian:~#
Post-update:
root@debian:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error impo
El Thu, 25 Sep 2014 13:27:02 -0300, Fabián Bonetti escribió:
> Pre-udate:
>
> root@debian:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a
> test"
> vulnerable this is a test root@debian:~#
>
> Post-update:
>
> root@debian:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256
El Thu, 25 Sep 2014 14:33:57 + (UTC)
Camaleón escribió:
> El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió:
>
> > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en
> > Hispasec [1] o en Security by Default [2]
>
Será por eso que oficialmente se recomienda stable o unstable?
https://www.debian.org/doc/manuals/debian-faq/ch-choosing.en.html#s3.1
On 25 de septiembre de 2014 1:01:02 PM GMT-05:00, Angel Vicente
wrote:
>-BEGIN PGP SIGNED MESSAGE-
>Hash: SHA256
>
>El Thu, 25 Sep 2014 14:33:57 + (UT
El 25/09/14 a las 20:01, Angel Vicente escribió:
Para testing todavía no hay ¿no?
A mi por lo menos si me ha salido actualización, aunque eso si, sólo
para el primer fallo. Queda pendiente para el segundo.
He pasado de bash 4.3-9 a 4.3-9.1
--
www.LinuxCounter.net
Registered user #558467
On 25/09/14 20:54, Eduardo Rios wrote:
El 25/09/14 a las 20:01, Angel Vicente escribió:
Para testing todavía no hay ¿no?
A mi por lo menos si me ha salido actualización, aunque eso si, sólo
para el primer fallo. Queda pendiente para el segundo.
He pasado de bash 4.3-9 a 4.3-9.1
Idem. Es la
El Thu, 25 Sep 2014 11:17:06 -0300
ciracusa escribió:
> Hola Lista,
>
> Alguien leyo algo de esta vulnerabilidad en BASH:
>
> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
>
> Muchas Gracias.
cambia a dash si no tenes scripts demasiado complejos en bash, funcionan
Hasta tant
El día 25 de septiembre de 2014, 16:19, Angel Claudio Alvarez
escribió:
> El Thu, 25 Sep 2014 11:17:06 -0300
> ciracusa escribió:
>
>> Hola Lista,
>>
>> Alguien leyo algo de esta vulnerabilidad en BASH:
>>
>> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
>>
>> Muchas Gracias.
>
On Thu, 25 Sep 2014 18:44:30 -0600
Carlos Carcamo wrote:
Para ponerte al corriente >
http://blog.mamalibre.com.ar/post/shellshock-es-un-bug-de-bash
Me dicen que apareció el segundo parche para debian.
Mas información > https://www.us-cert.gov/ncas/alerts/TA14-268A
Saludos
--
On Thu, 25 Sep 2014 21:55:30 -0300
Fabián Bonetti wrote:
El segundo > http://pegartexto.ml/view/c4298397
--
Servicios:. http://mamalibre.com.ar/plus
MamaLibre, Casa en Lincoln, Ituzaingo 1085 CP6070, Buenos Aires, Argentina
pgpqI5LpmuABA.pgp
Description: PGP signature
El Thu, 25 Sep 2014 20:01:02 +0200, Angel Vicente escribió:
> El Thu, 25 Sep 2014 14:33:57 + (UTC)
> Camaleón escribió:
>> El Thu, 25 Sep 2014 16:28:34 +0200, Gerardo Diez García escribió:
>>
>> > Sí. Su referencia es: CVE-2014-6271 Hablan de ella por ejemplo en
>> > Hispasec [1] o en Secur
El 26/09/14 a las 15:32, Camaleón escribió:
El Thu, 25 Sep 2014 20:01:02 +0200, Angel Vicente escribió:
En Debian hay un parche desde ayer:
https://www.debian.org/security/2014/dsa-3032
Para testing todavía no hay ¿no?
0
A testing y sid no les afecta "ese" parche.
CVE-2014-6271
Debian/tes
El Fri, 26 Sep 2014 19:30:29 +0200, Eduardo Rios escribió:
> El 26/09/14 a las 15:32, Camaleón escribió:
>> El Thu, 25 Sep 2014 20:01:02 +0200, Angel Vicente escribió:
>
En Debian hay un parche desde ayer:
https://www.debian.org/security/2014/dsa-3032
>>>
>>> Para testing todavía n
Échenle un vistazo a este articulo, está muy bien y muy claro respecto
al bug en bash:
http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html?m=1&utm_content=buffer94f89&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer
Si ya sé que está en inglés y algo extenso, pero e
El Thu, 25 Sep 2014 18:44:30 -0600
Carlos Carcamo escribió:
> El día 25 de septiembre de 2014, 16:19, Angel Claudio Alvarez
> escribió:
> > El Thu, 25 Sep 2014 11:17:06 -0300
> > ciracusa escribió:
> >
> >> Hola Lista,
> >>
> >> Alguien leyo algo de esta vulnerabilidad en BASH:
> >>
> >> env x=
El 25/09/14 a las 20:54, Eduardo Rios escribió:
El 25/09/14 a las 20:01, Angel Vicente escribió:
Para testing todavía no hay ¿no?
A mi por lo menos si me ha salido actualización, aunque eso si, sólo
para el primer fallo. Queda pendiente para el segundo.
He pasado de bash 4.3-9 a 4.3-9.1
El domingo, 28 sep 2014 a las 15:16 horas (UTC+2),
Eduardo Rios escribió:
>El 25/09/14 a las 20:54, Eduardo Rios escribió:
>> El 25/09/14 a las 20:01, Angel Vicente escribió:
>>
>>> Para testing todavía no hay ¿no?
>>
>> A mi por lo menos si me ha salido actualización, aunque eso si, sólo
>> para
El 28/09/14 a las 15:35, Manolo Díaz escribió:
El domingo, 28 sep 2014 a las 15:16 horas (UTC+2),
Eduardo Rios escribió:
El 25/09/14 a las 20:54, Eduardo Rios escribió:
El 25/09/14 a las 20:01, Angel Vicente escribió:
Para testing todavía no hay ¿no?
A mi por lo menos si me ha salido actua
El domingo, 28 sep 2014 a las 15:45 horas (UTC+2),
Eduardo Rios escribió:
>El 28/09/14 a las 15:35, Manolo Díaz escribió:
>> El domingo, 28 sep 2014 a las 15:16 horas (UTC+2),
>> Eduardo Rios escribió:
>>
>>> El 25/09/14 a las 20:54, Eduardo Rios escribió:
El 25/09/14 a las 20:01, Angel Vicen
El domingo, 28 sep 2014 a las 16:06 horas (UTC+2),
Manolo Díaz escribió:
>pero si ese es un fallo, el shell dash también lo tiene.
Y el zsh. No sé de dónde has sacado el test, pero no parece probar nada.
Saludos.
--
Manolo Díaz
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.deb
El Sun, 28 Sep 2014 15:45:35 +0200, Eduardo Rios escribió:
> El 28/09/14 a las 15:35, Manolo Díaz escribió:
>> El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), Eduardo Rios
>> escribió:
>>
>>> El 25/09/14 a las 20:54, Eduardo Rios escribió:
El 25/09/14 a las 20:01, Angel Vicente escribió:
>
El 28/09/14 a las 17:36, Camaleón escribió:
El Sun, 28 Sep 2014 15:45:35 +0200, Eduardo Rios escribió:
El 28/09/14 a las 15:35, Manolo Díaz escribió:
El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), Eduardo Rios
escribió:
El 25/09/14 a las 20:54, Eduardo Rios escribió:
El 25/09/14 a las 2
El 28/09/14 a las 16:06, Manolo Díaz escribió:
El domingo, 28 sep 2014 a las 15:45 horas (UTC+2),
Eduardo Rios escribió:
El 28/09/14 a las 15:35, Manolo Díaz escribió:
El domingo, 28 sep 2014 a las 15:16 horas (UTC+2),
Eduardo Rios escribió:
El 25/09/14 a las 20:54, Eduardo Rios escribió:
E
On Sun, 28 Sep 2014 17:43:55 +0200
Eduardo Rios wrote:
Esas no son las pruebas correctas.
Las correctas están aquí > https://shellshocker.net/
--
Servicios:. http://mamalibre.com.ar/plus
MamaLibre, Casa en Lincoln, Ituzaingo 1085 CP6070, Buenos Aires, Argentina
pgpPPCmrhh
El Sun, 28 Sep 2014 17:43:55 +0200, Eduardo Rios escribió:
> El 28/09/14 a las 17:36, Camaleón escribió:
(...)
>>> edurios@debian:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c
>>> "echo Fallo 2 sin parchear"
>>> vulnerable Fallo 2 sin parchear edurios@debian:~$
>>
>> En wheezy dice lo
El 28/09/14 a las 18:03, Fabián Bonetti escribió:
Esas no son las pruebas correctas.
Las correctas están aquí > https://shellshocker.net/
Vamos allá:
Exploit 1 (CVE-2014-6271)
edurios@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this
is a test"
this is a test
edurios@debian:~
El domingo, 28 sep 2014 a las 18:55 horas (UTC+2),
Eduardo Rios escribió:
>El 28/09/14 a las 18:03, Fabián Bonetti escribió:
>
>> Esas no son las pruebas correctas.
>>
>> Las correctas están aquí > https://shellshocker.net/
>
>Vamos allá:
>
>Exploit 1 (CVE-2014-6271)
>
>edurios@debian:~$ env x='()
El 28/09/14 a las 19:02, Manolo Díaz escribió:
El domingo, 28 sep 2014 a las 18:55 horas (UTC+2),
Eduardo Rios escribió:
El 28/09/14 a las 18:03, Fabián Bonetti escribió:
Esas no son las pruebas correctas.
Las correctas están aquí > https://shellshocker.net/
Vamos allá:
Exploit 1 (CVE-201
buenas noches comunidad
recientemente hace 20min
me encontraba navegando por la web cuando la maquina se apago
pero se apago como si con la root le fueran puesto poweroff
creen q tenga algo q ver con esto ?
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subj
El 28 de septiembre de 2014, 20:04, Edward Villarroel (EDD) escribió:
> buenas noches comunidad
>
> recientemente hace 20min
>
> me encontraba navegando por la web cuando la máquina se apago
>
> pero se apago como si con la root le fueran puesto poweroff
¿como sabes eso?
>
> creen q tenga algo q v
si me temo q no sirve de nada por q los tengo apuntando a la ram para
q no gastar el ssd
Edward Villarroel: @Agentedd
El día 28 de septiembre de 2014, 20:48, Aradenatorix Veckhom
Vacelaevus escribió:
> El 28 de septiembre de 2014, 20:04, Edward Villarroel (EDD) escribió:
>> buenas noches comun
El Sun, 28 Sep 2014 19:07:11 +0200, Eduardo Rios escribió:
> El 28/09/14 a las 19:02, Manolo Díaz escribió:
>> El domingo, 28 sep 2014 a las 18:55 horas (UTC+2),
>> Eduardo Rios escribió:
>>
>>> El 28/09/14 a las 18:03, Fabián Bonetti escribió:
>>>
Esas no son las pruebas correctas.
On Monday 29 September 2014 14:14:53 Camaleón wrote:
> Pues ya puedes volver al modo paranoico que esto no ha acabado:
>
> Further flaws render Shellshock patch ineffective
> http://www.itnews.com.au/News/396256,further-flaws-render-shellshock-patch-i
> neffective.aspx
>
> Saludos malvados >:-)
El Mon, 29 Sep 2014 16:30:32 +0200, Luis Felipe Tabera Alonso escribió:
> On Monday 29 September 2014 14:14:53 Camaleón wrote:
>> Pues ya puedes volver al modo paranoico que esto no ha acabado:
>>
>> Further flaws render Shellshock patch ineffective
>> http://www.itnews.com.au/News/396256,further
El 29/09/14 a las 16:14, Camaleón escribió:
El Sun, 28 Sep 2014 19:07:11 +0200, Eduardo Rios escribió:
Gracias. Pues ya se me pasa la paranoia ;) :)
Pues ya puedes volver al modo paranoico que esto no ha acabado:
Further flaws render Shellshock patch ineffective
http://www.itnews.com.au/Ne
El 29/09/2014 12:48, Eduardo Rios escribió:
El 29/09/14 a las 16:14, Camaleón escribió:
El Sun, 28 Sep 2014 19:07:11 +0200, Eduardo Rios escribió:
Gracias. Pues ya se me pasa la paranoia ;) :)
Pues ya puedes volver al modo paranoico que esto no ha acabado:
Further flaws render Shellshock
El 29/09/14 a las 20:56, Emmanuel Brenes escribió:
Según entiendo el alcance es remoto, o sea, desde otros computadores se
puede ver vulnerado el sistema, el detalle es en circunstancias muy
particulares, como han dicho varios ya, a través de páginas que utilicen
CGI -scripts que se ejecutan en
El Mon, 29 Sep 2014 20:48:37 +0200
Eduardo Rios escribió:
> El 29/09/14 a las 16:14, Camaleón escribió:
> > El Sun, 28 Sep 2014 19:07:11 +0200, Eduardo Rios escribió:
>
>
> >> Gracias. Pues ya se me pasa la paranoia ;) :)
> >
> > Pues ya puedes volver al modo paranoico que esto no ha acabado:
>
El Mon, 29 Sep 2014 21:29:04 +0200
Eduardo Rios escribió:
> El 29/09/14 a las 20:56, Emmanuel Brenes escribió:
>
> >
> > Según entiendo el alcance es remoto, o sea, desde otros computadores se
> > puede ver vulnerado el sistema, el detalle es en circunstancias muy
> > particulares, como han dich
El 29/09/2014 13:29, Eduardo Rios escribió:
El 29/09/14 a las 20:56, Emmanuel Brenes escribió:
Según entiendo el alcance es remoto, o sea, desde otros computadores se
puede ver vulnerado el sistema, el detalle es en circunstancias muy
particulares, como han dicho varios ya, a través de páginas
en realidad nadie tiene idea de q tan malo es el daño todos andan
revisando sus app para ver si alguien de ellos cae en la
vulnerabilidad
hasta donde tengo entendido cualquier aplicacion q use una variable de
entorno y de alguna forma salga a internet esa variable ya esta metido
en lios
Edward Vi
El Mon, 29 Sep 2014 20:48:37 +0200, Eduardo Rios escribió:
> El 29/09/14 a las 16:14, Camaleón escribió:
>> El Sun, 28 Sep 2014 19:07:11 +0200, Eduardo Rios escribió:
>
>
>>> Gracias. Pues ya se me pasa la paranoia ;) :)
>>
>> Pues ya puedes volver al modo paranoico que esto no ha acabado:
>>
>>
El 30/09/14 a las 00:21, Angel Claudio Alvarez escribió:
El Mon, 29 Sep 2014 21:29:04 +0200
Eduardo Rios escribió:
El 29/09/14 a las 20:56, Emmanuel Brenes escribió:
Según entiendo el alcance es remoto, o sea, desde otros computadores se
puede ver vulnerado el sistema, el detalle es en circ
El 30/09/14 a las 01:05, Emmanuel Brenes escribió:
Eh, no, creo que no es necesario dejar de navegar... A ver, te lo pongo
así, estás en problemas:
- Si tienes un servidor que usa CGI para trabajar, corres peligro si no
has corregido el problema.
No, no tengo ningún servidor, sólo hago uso de
El 30/09/14 a las 00:19, Angel Claudio Alvarez escribió:
El Mon, 29 Sep 2014 20:48:37 +0200
Eduardo Rios escribió:
¿O es que no me estoy enterando de la película?
No se te ocurrio leer sobre la vulnerabilidad y como afecta a servidores??
Hay mucha documentacion dando vueltas, que la verdad
Estimado.
como puedo aplicar el parche de seguridad, tengo un servidor y hacer un
upgrade de todo el sistema me preocupa por la incompatibilidad de algunas
cosas.
Saludos.
El 30 de septiembre de 2014, 15:51, Eduardo Rios
escribió:
> El 30/09/14 a las 00:19, Angel Claudio Alvarez escribió:
>
>>
El 30/09/14 21:13, Robert J. Briones C. escribió:
> Estimado.
>
> como puedo aplicar el parche de seguridad, tengo un servidor y
> hacer un upgrade de todo el sistema me preocupa por la
> incompatibilidad de algunas cosas.
>
> Saludos.
>
> El 30 de septiembre de 2014, 15:51, Eduardo Rios
> escr
la ultima vez que actualicé con upgrade, quedaron muchas cosas sin
funcionar, aparte, hay mucho código PHP que ya no es válido para versiones
nuevas, no se si me entiendes.
saludos.
El 30 de septiembre de 2014, 21:46, "José \"Yukiteru\" Maldonado" <
josemal...@gmail.com> escribió:
> El 30/09/14
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
El 30/09/14 21:30, Robert J. Briones C. escribió:
> la ultima vez que actualicé con upgrade, quedaron muchas cosas sin
> funcionar, aparte, hay mucho código PHP que ya no es válido para
> versiones nuevas, no se si me entiendes.
>
> saludos.
>
> El
no entiendo entonces, por que si hago un aptitude upgrade me sale lo
siguiente :
The following packages will be REMOVED:
libnet-daemon-perl{u} libplrpc-perl{u}
The following packages will be upgraded:
apache2 apache2-mpm-worker apache2-suexec apache2-utils apache2.2-bin
apache2.2-common base-fi
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
El 30/09/14 21:55, Robert J. Briones C. escribió:
> no entiendo entonces, por que si hago un aptitude upgrade me sale
> lo siguiente : The following packages will be REMOVED:
> libnet-daemon-perl{u} libplrpc-perl{u} The following packages will
> be up
squezzy, ahora instalé la version bash_4.1-3+deb6u2_amd64.deb de bach, ya
que tenia solo la 4.1.3, en la pagina de debian decia que esta version ya
no era vulnerable, según pruebo creo que no.
creo que aún no hay version no vulnerable para squezzy, y por eso no me
actualizaba.
Saludos.
El 30 de
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
El 30/09/14 22:04, Robert J. Briones C. escribió:
> squezzy, ahora instalé la version bash_4.1-3+deb6u2_amd64.deb de
> bach, ya que tenia solo la 4.1.3, en la pagina de debian decia que
> esta version ya no era vulnerable, según pruebo creo que no.
>
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
El 30/09/14 22:10, Robert J. Briones C. escribió:
> este:
>
> env X='() { (tecnoelite.cl)=>\' bash -c "echo date"; cat echo ; rm
> -f echo date
>
> y sale esto :
>
> date cat: echo: No existe el fichero o el directorio
>
> Saludos.
>
>
> El 30 de
60 matches
Mail list logo
