O bash 4.1 > Tinha essa vulnerabilidade, fiz o upgrade para o 4.2.37 e agora não tem mais a vulnerabilidade. Fiquei curioso de como eu poderia explorar esta vulnerabilidade em meu ambiente de laboratorio para fins academicos, isso poderia render um bom artigo para a comunidade de SLivre, principalmente se conseguíssemos demostrar os perigos na pratica.
Em 22 de março de 2015 13:28, Rodrigo Cunha <rodrigo.root...@gmail.com> escreveu: > Solução, > adicione os repositorios : > deb http://ftp.br.debian.org/debian/ wheezy main > deb-src http://ftp.br.debian.org/debian/ wheezy main > Executei: > sudo apt-get update > sudo apt-get install --only-upgrade bash gcc-4.4 > > Em 22 de março de 2015 13:26, P. J. <pjotam...@gmail.com> escreveu: > > Que mistureba... >> >> Mas com relação ao bug veja qual versão do bash é a vulnerável e qual >> está instalada na sua máquina... assimo como os pacotes do referentes >> ao SSL... procure no google, sites com CVE's por exemplo, ou na parte >> de segurança do debian no seu site... >> >> [ ] 's >> >> Em 22/03/15, Thiago Zoroastro<thiago.zoroas...@bol.com.br> escreveu: >> > Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou >> > com gNewSense e com algumas dúvidas >> > >> > Coloquei no terminal: >> > root@root# env x='() { :;}; echo vulneravel' bash -c 'true' >> > vulneravel >> > root@root# env x='() { :;}; echo unvulneravel' bash -c 'false' >> > unvulneravel >> > root@root# env x='() { :;}; echo unvulneravel' bash -c 'true' >> > unvulneravel >> > >> > Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list: >> > >> > deb http://ftp.at.debian.org/debian-backports/ >> squeeze-backports >> > main >> > deb http://ftp.de.debian.org/debian squeeze main >> > >> > >> > ## LTS >> > deb http://http.debian.net/debian/ squeeze-lts main >> > deb-src http://http.debian.net/debian/ squeeze-lts main >> > >> > deb http://http.debian.net/debian/ squeeze main >> > deb-src http://http.debian.net/debian/ squeeze main >> > >> > deb http://http.debian.net/debian squeeze-lts main >> > deb-src http://http.debian.net/debian squeeze-lts main >> > # LTS >> > >> > # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL >> > Binary 20140205-19:57]/ parkes main >> > >> > # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL >> > Binary 20140205-19:57]/ parkes main >> > >> > # Line commented out by installer because it failed to verify: >> > deb http://archive.gnewsense.org/gnewsense-three/gnewsense >> > parkes-security main >> > # Line commented out by installer because it failed to verify: >> > deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense >> > parkes-security main >> > >> > # parkes-updates, previously known as 'volatile' >> > # A network mirror was not selected during install. The >> > following entries >> > # are provided as examples, but you should amend them as >> > appropriate >> > # for your mirror of choice. >> > # >> > deb http://ftp.debian.org/debian/ parkes-updates main >> > deb-src http://ftp.debian.org/debian/ parkes-updates main >> > >> > deb http://backports.debian.org/debian-backports >> > squeeze-backports main >> > deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr >> > deb http://mozilla.debian.net/ squeeze-backports icedove-esr >> > # deb http://debian.net/debian experimental main >> > # deb http://mozilla.debian.net/ experimental iceweasel-beta >> > >> > >> > Então faço apt-get update e apt-get upgrade e ele me oferece >> > >> > 164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem >> > removidos e 46 não atualizados. >> > É preciso baixar 172 MB de arquivos. >> > Depois desta operação, 51,9 MB de espaço em disco serão >> liberados. >> > >> > >> > Posso e devo atualizar sem medo? >> > Como sempreatualizei o gNewSense, então posso ter atualizado para o >> > necessário antes. Como posso ver se o pacote instalado é o vulnerável, >> > como era possível ver o do OpenSSL? >> > >> > Att. >> > >> > On 22-03-2015 10:35, Rodrigo Cunha wrote: >> >> Srs, encontrei este erro no meu laboratorio com Debian 6. >> >> Li no facebook que isso é um bug do bash.O Shellshock, pensei em >> >> divulgar porque sei que existem muitos servidores que não tem uma >> >> atualização sistematica do S/O e como estamos com O debian 7. >> >> Segundo o texto que li, ele permite que via protocolos distintos podem >> >> ser enviados comandos remotos para o seu server/desktop. >> >> >> >> >> >> root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false' >> >> vulneravel >> >> root@DEB-TEST:~# cat /etc/issue >> >> Debian GNU/Linux 6.0 \n \l >> >> >> >> root@DEB-TEST:~# uname -a >> >> Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686 >> >> GNU/Linux >> >> root@DEB-TEST:~# >> >> >> >> >> >> -- >> >> Atenciosamente, >> >> Rodrigo da Silva Cunha >> >> >> > >> > >> >> >> -- >> | .''`. A fé não dá respostas. Só impede perguntas. >> | : :' : >> | `. `'` >> | `- Je vois tout >> >> >> -- >> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact >> listmas...@lists.debian.org >> Archive: >> https://lists.debian.org/cacnf0pjnzdgcwu1h-_gv_rfdymrf80kmhbqudykkssqujep...@mail.gmail.com >> >> > > > -- > Atenciosamente, > Rodrigo da Silva Cunha > > -- Atenciosamente, Rodrigo da Silva Cunha
