* Retirei linhas duplicadas que acabei colocando no sources.list quando copiei o que estava nas páginas do Debian-LTS; * Apliquei # apt-get update & apt-get install bash (gcc-4.4 já estava instalado) * Agora o comando que o Rodrigo Cunha apresentou não retorna mais a resposta de 'vulneravel' nem outras respostas quando mudo o comando.
Resolvido o problema que ele alertou. Aliás, já havia ouvido falar do shellshock, mas ainda não tinha seguido a solução, embora estivesse atualizando o gNewSense regularmente. Obrigado, Att. On 22-03-2015 15:10, Rodrigo Cunha wrote: > Na verdade você alterou apenas a string "texto" da linha, a função > desta string, neste contexto.É informar um resultado obtido através de > um teste. > env x='() { :;}; > Ele depende do resultado desta parte da linha para executar ou não o > echo vulneravel' > > > > Em 22 de março de 2015 15:02, Thiago Zoroastro > <thiago.zoroas...@bol.com.br <mailto:thiago.zoroas...@bol.com.br>> > escreveu: > > Sim eu havia feito isso desde que você havia colocado esta linha. > > Daí coloquei na lista com 'unvulneravel' e ele sai 'unvulneravel'. > Quer dizer, ele sai o que você colocar ali > > É claro que com 'vulneravel' e ele aparece 'vulneravel'. Vou > colocar denovo: > > # env x='() { :;}; echo vulneravel' bash -c 'false' > vulneravel > # env x='() { :;}; echo unvulneravel' bash -c 'false' > unvulneravel > # env x='() { :;}; echo unvulneravel' bash -c 'true' > unvulneravel > # env x='() { :;}; echo vulneravel' bash -c 'true' > vulneravel > > Sou bastante leigo, mas duvido de muita coisa, então eu testo > antes de tirar conclusões. Porque é que ele seria vulneravel se > trocar a palavra, troca o 'resultado' também? > > Se bem que você deve ter atualizado e colocado o mesmo comando e > saiu um 'resultado' diferente. Desculpa a teimosia. > > > Thiago Zoroastro > www.participa.br/thiagozoroastro > <http://www.participa.br/thiagozoroastro> > www.blogoosfero.cc/thiagozoroastro > <http://www.blogoosfero.cc/thiagozoroastro> > > > ------------------------------------------------------------------------ > > *De:* rodrigo.root...@gmail.com <mailto:rodrigo.root...@gmail.com> > *Enviada:* Domingo, 22 de Março de 2015 14:49 > *Para:* thiago.zoroas...@bol.com.br > <mailto:thiago.zoroas...@bol.com.br> > *Assunto:* [BUG]Shellshock > > Joga essa linha de comando no sei bash : > env x='() { :;}; echo vulneravel' bash -c 'false' > Se o output for : > vulneravel > Você está com o bash bugado. > > Em 22 de março de 2015 14:33, Thiago Zoroastro > <thiago.zoroas...@bol.com.br > <http://../../../undefined//compose?to=thiago.zoroas...@bol.com.br>> > escreveu: > > Olha isso > > # bash --version > GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu) > Copyright (C) 2009 Free Software Foundation, Inc. > License GPLv3+: GNU GPL version 3 or later > <http://gnu.org/licenses/gpl.html> > <http://gnu.org/licenses/gpl.html> > > This is free software; you are free to change and > redistribute it. > There is NO WARRANTY, to the extent permitted by law. > > > No repositório do gNewSense está como nenhum pacote para ser > atualizado. Como verifico a vulnerabilidade? Como posso saber > se este bash está vulnerável? > > Att. > > > > > On 22-03-2015 13:32, Rodrigo Cunha wrote: > > O bash 4.1 > Tinha essa vulnerabilidade, fiz o upgrade > para o 4.2.37 e agora não tem mais a vulnerabilidade. > Fiquei curioso de como eu poderia explorar esta > vulnerabilidade em meu ambiente de laboratorio para fins > academicos, isso poderia render um bom artigo para a > comunidade de SLivre, principalmente se conseguíssemos > demostrar os perigos na pratica. > > Em 22 de março de 2015 13:28, Rodrigo Cunha > <rodrigo.root...@gmail.com > <http://../../../undefined//compose?to=rodrigo.root...@gmail.com>> > escreveu: > > Solução, > adicione os repositorios : > deb http://ftp.br.debian.org/debian/ wheezy main > deb-src http://ftp.br.debian.org/debian/ wheezy main > Executei: > sudo apt-get update > sudo apt-get install --only-upgrade bash gcc-4.4 > > Em 22 de março de 2015 13:26, P. J. > <pjotam...@gmail.com > > <http://../../../undefined//compose?to=pjotam...@gmail.com>>escreveu: > > > Que mistureba... > > Mas com relação ao bug veja qual versão do bash é > a vulnerável e qual > está instalada na sua máquina... assimo como os > pacotes do referentes > ao SSL... procure no google, sites com CVE's por > exemplo, ou na parte > de segurança do debian no seu site... > > [ ] 's > > Em 22/03/15, Thiago > Zoroastro<thiago.zoroas...@bol.com.br > > <http://../../../undefined//compose?to=thiago.zoroas...@bol.com.br>> > escreveu: > > Obrigado ao Antonio Terceiro por lembrar que o > Debian LTS existe. Estou > > com gNewSense e com algumas dúvidas > > > > Coloquei no terminal: > > root@root# env x='() { :;}; echo vulneravel' > bash -c 'true' > > vulneravel > > root@root# env x='() { :;}; echo unvulneravel' > bash -c 'false' > > unvulneravel > > root@root# env x='() { :;}; echo unvulneravel' > bash -c 'true' > > unvulneravel > > > > Coloquei as linhas do Debian LTS sem contrib e > non-free. Sources.list: > > > > deb > http://ftp.at.debian.org/debian-backports/ > squeeze-backports > > main > > deb http://ftp.de.debian.org/debian > squeeze main > > > > > > ## LTS > > deb http://http.debian.net/debian/ > squeeze-lts main > > deb-src http://http.debian.net/debian/ > squeeze-lts main > > > > deb http://http.debian.net/debian/ > squeeze main > > deb-src http://http.debian.net/debian/ > squeeze main > > > > deb http://http.debian.net/debian > squeeze-lts main > > deb-src http://http.debian.net/debian > squeeze-lts main > > # LTS > > > > # deb cdrom:[gNewSense 3.0 _Parkes_ - > Official i386 LIVE/INSTALL > > Binary 20140205-19 > <tel:20140205-19>:57]/ parkes main > > > > # deb cdrom:[gNewSense 3.0 _Parkes_ - > Official i386 LIVE/INSTALL > > Binary 20140205-19 > <tel:20140205-19>:57]/ parkes main > > > > # Line commented out by installer > because it failed to verify: > > deb > http://archive.gnewsense.org/gnewsense-three/gnewsense > > parkes-security main > > # Line commented out by installer > because it failed to verify: > > deb-src > http://archive.gnewsense.org/gnewsense-three/gnewsense > > parkes-security main > > > > # parkes-updates, previously known as > 'volatile' > > # A network mirror was not selected > during install. The > > following entries > > # are provided as examples, but you > should amend them as > > appropriate > > # for your mirror of choice. > > # > > deb http://ftp.debian.org/debian/ > parkes-updates main > > deb-src http://ftp.debian.org/debian/ > parkes-updates main > > > > deb > http://backports.debian.org/debian-backports > > squeeze-backports main > > deb http://mozilla.debian.net/ > squeeze-backports iceweasel-esr > > deb http://mozilla.debian.net/ > squeeze-backports icedove-esr > > # deb http://debian.net/debian > experimental main > > # deb http://mozilla.debian.net/ > experimental iceweasel-beta > > > > > > Então faço apt-get update e apt-get upgrade e > ele me oferece > > > > 164 pacotes atualizados, 0 pacotes novos > instalados, 0 a serem > > removidos e 46 não atualizados. > > É preciso baixar 172 MB de arquivos. > > Depois desta operação, 51,9 MB de espaço > em disco serão liberados. > > > > > > Posso e devo atualizar sem medo? > > Como sempreatualizei o gNewSense, então posso > ter atualizado para o > > necessário antes. Como posso ver se o pacote > instalado é o vulnerável, > > como era possível ver o do OpenSSL? > > > > Att. > > > > On 22-03-2015 10:35, Rodrigo Cunha wrote: > >> Srs, encontrei este erro no meu laboratorio com > Debian 6. > >> Li no facebook que isso é um bug do bash.O > Shellshock, pensei em > >> divulgar porque sei que existem muitos > servidores que não tem uma > >> atualização sistematica do S/O e como estamos > com O debian 7. > >> Segundo o texto que li, ele permite que via > protocolos distintos podem > >> ser enviados comandos remotos para o seu > server/desktop. > >> > >> > >> root@DEB-TEST:~# env x='() { :;}; echo > vulneravel' bash -c 'false' > >> vulneravel > >> root@DEB-TEST:~# cat /etc/issue > >> Debian GNU/Linux 6.0 \n \l > >> > >> root@DEB-TEST:~# uname -a > >> Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 > 16:33:32 UTC 2014 i686 > >> GNU/Linux > >> root@DEB-TEST:~# > >> > >> > >> -- > >> Atenciosamente, > >> Rodrigo da Silva Cunha > >> > > > > > > -- > | .''`. A fé não dá respostas. Só impede perguntas. > | : :' : > | `. `'` > | `- Je vois tout > > > -- > To UNSUBSCRIBE, email to > debian-user-portuguese-requ...@lists.debian.org > > <http://../../../undefined//compose?to=debian-user-portuguese-requ...@lists.debian.org> > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > > <http://../../../undefined//compose?to=listmas...@lists.debian.org> > Archive: > > https://lists.debian.org/cacnf0pjnzdgcwu1h-_gv_rfdymrf80kmhbqudykkssqujep...@mail.gmail.com > > > > > -- > Atenciosamente, > Rodrigo da Silva Cunha > > > > > -- > Atenciosamente, > Rodrigo da Silva Cunha > > > > > -- > Atenciosamente, > Rodrigo da Silva Cunha > > > > > > > -- > Atenciosamente, > Rodrigo da Silva Cunha >