* Retirei linhas duplicadas que acabei colocando no sources.list quando
copiei o que estava nas páginas do Debian-LTS;
* Apliquei # apt-get update & apt-get install bash (gcc-4.4 já estava
instalado)
* Agora o comando que o Rodrigo Cunha apresentou não retorna mais a
resposta de 'vulneravel' nem outras respostas quando mudo o comando.
Resolvido o problema que ele alertou. Aliás, já havia ouvido falar do
shellshock, mas ainda não tinha seguido a solução, embora estivesse
atualizando o gNewSense regularmente.
Obrigado,
Att.
On 22-03-2015 15:10, Rodrigo Cunha wrote:
> Na verdade você alterou apenas a string "texto" da linha, a função
> desta string, neste contexto.É informar um resultado obtido através de
> um teste.
> env x='() { :;};
> Ele depende do resultado desta parte da linha para executar ou não o
> echo vulneravel'
>
>
>
> Em 22 de março de 2015 15:02, Thiago Zoroastro
> <[email protected] <mailto:[email protected]>>
> escreveu:
>
> Sim eu havia feito isso desde que você havia colocado esta linha.
>
> Daí coloquei na lista com 'unvulneravel' e ele sai 'unvulneravel'.
> Quer dizer, ele sai o que você colocar ali
>
> É claro que com 'vulneravel' e ele aparece 'vulneravel'. Vou
> colocar denovo:
>
> # env x='() { :;}; echo vulneravel' bash -c 'false'
> vulneravel
> # env x='() { :;}; echo unvulneravel' bash -c 'false'
> unvulneravel
> # env x='() { :;}; echo unvulneravel' bash -c 'true'
> unvulneravel
> # env x='() { :;}; echo vulneravel' bash -c 'true'
> vulneravel
>
> Sou bastante leigo, mas duvido de muita coisa, então eu testo
> antes de tirar conclusões. Porque é que ele seria vulneravel se
> trocar a palavra, troca o 'resultado' também?
>
> Se bem que você deve ter atualizado e colocado o mesmo comando e
> saiu um 'resultado' diferente. Desculpa a teimosia.
>
>
> Thiago Zoroastro
> www.participa.br/thiagozoroastro
> <http://www.participa.br/thiagozoroastro>
> www.blogoosfero.cc/thiagozoroastro
> <http://www.blogoosfero.cc/thiagozoroastro>
>
>
> ------------------------------------------------------------------------
>
> *De:* [email protected] <mailto:[email protected]>
> *Enviada:* Domingo, 22 de Março de 2015 14:49
> *Para:* [email protected]
> <mailto:[email protected]>
> *Assunto:* [BUG]Shellshock
>
> Joga essa linha de comando no sei bash :
> env x='() { :;}; echo vulneravel' bash -c 'false'
> Se o output for :
> vulneravel
> Você está com o bash bugado.
>
> Em 22 de março de 2015 14:33, Thiago Zoroastro
> <[email protected]
> <http://../../../undefined//[email protected]>>
> escreveu:
>
> Olha isso
>
> # bash --version
> GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu)
> Copyright (C) 2009 Free Software Foundation, Inc.
> License GPLv3+: GNU GPL version 3 or later
> <http://gnu.org/licenses/gpl.html>
> <http://gnu.org/licenses/gpl.html>
>
> This is free software; you are free to change and
> redistribute it.
> There is NO WARRANTY, to the extent permitted by law.
>
>
> No repositório do gNewSense está como nenhum pacote para ser
> atualizado. Como verifico a vulnerabilidade? Como posso saber
> se este bash está vulnerável?
>
> Att.
>
>
>
>
> On 22-03-2015 13:32, Rodrigo Cunha wrote:
>
> O bash 4.1 > Tinha essa vulnerabilidade, fiz o upgrade
> para o 4.2.37 e agora não tem mais a vulnerabilidade.
> Fiquei curioso de como eu poderia explorar esta
> vulnerabilidade em meu ambiente de laboratorio para fins
> academicos, isso poderia render um bom artigo para a
> comunidade de SLivre, principalmente se conseguíssemos
> demostrar os perigos na pratica.
>
> Em 22 de março de 2015 13:28, Rodrigo Cunha
> <[email protected]
> <http://../../../undefined//[email protected]>>
> escreveu:
>
> Solução,
> adicione os repositorios :
> deb http://ftp.br.debian.org/debian/ wheezy main
> deb-src http://ftp.br.debian.org/debian/ wheezy main
> Executei:
> sudo apt-get update
> sudo apt-get install --only-upgrade bash gcc-4.4
>
> Em 22 de março de 2015 13:26, P. J.
> <[email protected]
>
> <http://../../../undefined//[email protected]>>escreveu:
>
>
> Que mistureba...
>
> Mas com relação ao bug veja qual versão do bash é
> a vulnerável e qual
> está instalada na sua máquina... assimo como os
> pacotes do referentes
> ao SSL... procure no google, sites com CVE's por
> exemplo, ou na parte
> de segurança do debian no seu site...
>
> [ ] 's
>
> Em 22/03/15, Thiago
> Zoroastro<[email protected]
>
> <http://../../../undefined//[email protected]>>
> escreveu:
> > Obrigado ao Antonio Terceiro por lembrar que o
> Debian LTS existe. Estou
> > com gNewSense e com algumas dúvidas
> >
> > Coloquei no terminal:
> > root@root# env x='() { :;}; echo vulneravel'
> bash -c 'true'
> > vulneravel
> > root@root# env x='() { :;}; echo unvulneravel'
> bash -c 'false'
> > unvulneravel
> > root@root# env x='() { :;}; echo unvulneravel'
> bash -c 'true'
> > unvulneravel
> >
> > Coloquei as linhas do Debian LTS sem contrib e
> non-free. Sources.list:
> >
> > deb
> http://ftp.at.debian.org/debian-backports/
> squeeze-backports
> > main
> > deb http://ftp.de.debian.org/debian
> squeeze main
> >
> >
> > ## LTS
> > deb http://http.debian.net/debian/
> squeeze-lts main
> > deb-src http://http.debian.net/debian/
> squeeze-lts main
> >
> > deb http://http.debian.net/debian/
> squeeze main
> > deb-src http://http.debian.net/debian/
> squeeze main
> >
> > deb http://http.debian.net/debian
> squeeze-lts main
> > deb-src http://http.debian.net/debian
> squeeze-lts main
> > # LTS
> >
> > # deb cdrom:[gNewSense 3.0 _Parkes_ -
> Official i386 LIVE/INSTALL
> > Binary 20140205-19
> <tel:20140205-19>:57]/ parkes main
> >
> > # deb cdrom:[gNewSense 3.0 _Parkes_ -
> Official i386 LIVE/INSTALL
> > Binary 20140205-19
> <tel:20140205-19>:57]/ parkes main
> >
> > # Line commented out by installer
> because it failed to verify:
> > deb
> http://archive.gnewsense.org/gnewsense-three/gnewsense
> > parkes-security main
> > # Line commented out by installer
> because it failed to verify:
> > deb-src
> http://archive.gnewsense.org/gnewsense-three/gnewsense
> > parkes-security main
> >
> > # parkes-updates, previously known as
> 'volatile'
> > # A network mirror was not selected
> during install. The
> > following entries
> > # are provided as examples, but you
> should amend them as
> > appropriate
> > # for your mirror of choice.
> > #
> > deb http://ftp.debian.org/debian/
> parkes-updates main
> > deb-src http://ftp.debian.org/debian/
> parkes-updates main
> >
> > deb
> http://backports.debian.org/debian-backports
> > squeeze-backports main
> > deb http://mozilla.debian.net/
> squeeze-backports iceweasel-esr
> > deb http://mozilla.debian.net/
> squeeze-backports icedove-esr
> > # deb http://debian.net/debian
> experimental main
> > # deb http://mozilla.debian.net/
> experimental iceweasel-beta
> >
> >
> > Então faço apt-get update e apt-get upgrade e
> ele me oferece
> >
> > 164 pacotes atualizados, 0 pacotes novos
> instalados, 0 a serem
> > removidos e 46 não atualizados.
> > É preciso baixar 172 MB de arquivos.
> > Depois desta operação, 51,9 MB de espaço
> em disco serão liberados.
> >
> >
> > Posso e devo atualizar sem medo?
> > Como sempreatualizei o gNewSense, então posso
> ter atualizado para o
> > necessário antes. Como posso ver se o pacote
> instalado é o vulnerável,
> > como era possível ver o do OpenSSL?
> >
> > Att.
> >
> > On 22-03-2015 10:35, Rodrigo Cunha wrote:
> >> Srs, encontrei este erro no meu laboratorio com
> Debian 6.
> >> Li no facebook que isso é um bug do bash.O
> Shellshock, pensei em
> >> divulgar porque sei que existem muitos
> servidores que não tem uma
> >> atualização sistematica do S/O e como estamos
> com O debian 7.
> >> Segundo o texto que li, ele permite que via
> protocolos distintos podem
> >> ser enviados comandos remotos para o seu
> server/desktop.
> >>
> >>
> >> root@DEB-TEST:~# env x='() { :;}; echo
> vulneravel' bash -c 'false'
> >> vulneravel
> >> root@DEB-TEST:~# cat /etc/issue
> >> Debian GNU/Linux 6.0 \n \l
> >>
> >> root@DEB-TEST:~# uname -a
> >> Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13
> 16:33:32 UTC 2014 i686
> >> GNU/Linux
> >> root@DEB-TEST:~#
> >>
> >>
> >> --
> >> Atenciosamente,
> >> Rodrigo da Silva Cunha
> >>
> >
> >
>
> --
> | .''`. A fé não dá respostas. Só impede perguntas.
> | : :' :
> | `. `'`
> | `- Je vois tout
>
>
> --
> To UNSUBSCRIBE, email to
> [email protected]
>
> <http://../../../undefined//[email protected]>
> with a subject of "unsubscribe". Trouble? Contact
> [email protected]
>
> <http://../../../undefined//[email protected]>
> Archive:
>
> https://lists.debian.org/cacnf0pjnzdgcwu1h-_gv_rfdymrf80kmhbqudykkssqujep...@mail.gmail.com
>
>
>
>
> --
> Atenciosamente,
> Rodrigo da Silva Cunha
>
>
>
>
> --
> Atenciosamente,
> Rodrigo da Silva Cunha
>
>
>
>
> --
> Atenciosamente,
> Rodrigo da Silva Cunha
>
>
>
>
>
>
> --
> Atenciosamente,
> Rodrigo da Silva Cunha
>
