Valeu por mais esta dica do site shelshocker.net Se não tiver o curl instalado, como foi aqui, é só instalar # apt-get install curl
Teste: # curl https://shellshocker.net/shellshock_test.sh | bash % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 2632 100 2632 0 0 898 0 0:00:02 0:00:02 --:--:-- 917 CVE-2014-6271 (original shellshock): not vulnerable CVE-2014-6277 (segfault): not vulnerable CVE-2014-6278 (Florian's patch): not vulnerable CVE-2014-7169 (taviso bug): not vulnerable CVE-2014-7186 (redir_stack bug): not vulnerable CVE-2014-7187 (nested loops off by one): not vulnerable CVE-2014-//// (exploit 3 on http://shellshocker.net/): not vulnerable On 22-03-2015 16:27, Roberval Lustosa wrote: > > Esse site ajuda bastante. > > https://shellshocker.net/ > > Em 22/03/2015 16:22, "Thiago Zoroastro" <[email protected] > <mailto:[email protected]>> escreveu: > > * Retirei linhas duplicadas que acabei colocando no sources.list > quando copiei o que estava nas páginas do Debian-LTS; > * Apliquei # apt-get update & apt-get install bash (gcc-4.4 já > estava instalado) > * Agora o comando que o Rodrigo Cunha apresentou não retorna mais > a resposta de 'vulneravel' nem outras respostas quando mudo o comando. > > Resolvido o problema que ele alertou. Aliás, já havia ouvido falar > do shellshock, mas ainda não tinha seguido a solução, embora > estivesse atualizando o gNewSense regularmente. > > Obrigado, > Att. > > On 22-03-2015 15:10, Rodrigo Cunha wrote: >> Na verdade você alterou apenas a string "texto" da linha, a >> função desta string, neste contexto.É informar um resultado >> obtido através de um teste. >> env x='() { :;}; >> Ele depende do resultado desta parte da linha para executar ou >> não o echo vulneravel' >> >> >> >> Em 22 de março de 2015 15:02, Thiago Zoroastro >> <[email protected] >> <mailto:[email protected]>> escreveu: >> >> Sim eu havia feito isso desde que você havia colocado esta linha. >> >> Daí coloquei na lista com 'unvulneravel' e ele sai >> 'unvulneravel'. Quer dizer, ele sai o que você colocar ali >> >> É claro que com 'vulneravel' e ele aparece 'vulneravel'. Vou >> colocar denovo: >> >> # env x='() { :;}; echo vulneravel' bash -c 'false' >> vulneravel >> # env x='() { :;}; echo unvulneravel' bash -c 'false' >> unvulneravel >> # env x='() { :;}; echo unvulneravel' bash -c 'true' >> unvulneravel >> # env x='() { :;}; echo vulneravel' bash -c 'true' >> vulneravel >> >> Sou bastante leigo, mas duvido de muita coisa, então eu testo >> antes de tirar conclusões. Porque é que ele seria vulneravel >> se trocar a palavra, troca o 'resultado' também? >> >> Se bem que você deve ter atualizado e colocado o mesmo >> comando e saiu um 'resultado' diferente. Desculpa a teimosia. >> >> >> Thiago Zoroastro >> www.participa.br/thiagozoroastro >> <http://www.participa.br/thiagozoroastro> >> www.blogoosfero.cc/thiagozoroastro >> <http://www.blogoosfero.cc/thiagozoroastro> >> >> >> >> ------------------------------------------------------------------------ >> >> *De:* [email protected] >> <mailto:[email protected]> >> *Enviada:* Domingo, 22 de Março de 2015 14:49 >> *Para:* [email protected] >> <mailto:[email protected]> >> *Assunto:* [BUG]Shellshock >> >> Joga essa linha de comando no sei bash : >> env x='() { :;}; echo vulneravel' bash -c 'false' >> Se o output for : >> vulneravel >> Você está com o bash bugado. >> >> Em 22 de março de 2015 14:33, Thiago Zoroastro >> <[email protected] >> <http://../../../undefined//[email protected]>> >> escreveu: >> >> Olha isso >> >> # bash --version >> GNU bash, version 4.1.5(1)-release >> (i486-pc-linux-gnu) >> Copyright (C) 2009 Free Software Foundation, Inc. >> License GPLv3+: GNU GPL version 3 or later >> <http://gnu.org/licenses/gpl.html> >> <http://gnu.org/licenses/gpl.html> >> >> This is free software; you are free to change and >> redistribute it. >> There is NO WARRANTY, to the extent permitted by law. >> >> >> No repositório do gNewSense está como nenhum pacote para >> ser atualizado. Como verifico a vulnerabilidade? Como >> posso saber se este bash está vulnerável? >> >> Att. >> >> >> >> >> On 22-03-2015 13:32, Rodrigo Cunha wrote: >> >> O bash 4.1 > Tinha essa vulnerabilidade, fiz o >> upgrade para o 4.2.37 e agora não tem mais a >> vulnerabilidade. >> Fiquei curioso de como eu poderia explorar esta >> vulnerabilidade em meu ambiente de laboratorio para >> fins academicos, isso poderia render um bom artigo >> para a comunidade de SLivre, principalmente se >> conseguíssemos demostrar os perigos na pratica. >> >> Em 22 de março de 2015 13:28, Rodrigo Cunha >> <[email protected] >> >> <http://../../../undefined//[email protected]>> >> escreveu: >> >> Solução, >> adicione os repositorios : >> deb http://ftp.br.debian.org/debian/ wheezy main >> deb-src http://ftp.br.debian.org/debian/ wheezy main >> Executei: >> sudo apt-get update >> sudo apt-get install --only-upgrade bash gcc-4.4 >> >> Em 22 de março de 2015 13:26, P. J. >> <[email protected] >> >> <http://../../../undefined//[email protected]>>escreveu: >> >> >> Que mistureba... >> >> Mas com relação ao bug veja qual versão do >> bash é a vulnerável e qual >> está instalada na sua máquina... assimo como >> os pacotes do referentes >> ao SSL... procure no google, sites com CVE's >> por exemplo, ou na parte >> de segurança do debian no seu site... >> >> [ ] 's >> >> Em 22/03/15, Thiago >> Zoroastro<[email protected] >> >> <http://../../../undefined//[email protected]>> >> escreveu: >> > Obrigado ao Antonio Terceiro por lembrar >> que o Debian LTS existe. Estou >> > com gNewSense e com algumas dúvidas >> > >> > Coloquei no terminal: >> > root@root# env x='() { :;}; echo >> vulneravel' bash -c 'true' >> > vulneravel >> > root@root# env x='() { :;}; echo >> unvulneravel' bash -c 'false' >> > unvulneravel >> > root@root# env x='() { :;}; echo >> unvulneravel' bash -c 'true' >> > unvulneravel >> > >> > Coloquei as linhas do Debian LTS sem >> contrib e non-free. Sources.list: >> > >> > deb >> http://ftp.at.debian.org/debian-backports/ >> squeeze-backports >> > main >> > deb http://ftp.de.debian.org/debian >> squeeze main >> > >> > >> > ## LTS >> > deb http://http.debian.net/debian/ >> squeeze-lts main >> > deb-src >> http://http.debian.net/debian/ squeeze-lts main >> > >> > deb http://http.debian.net/debian/ >> squeeze main >> > deb-src >> http://http.debian.net/debian/ squeeze main >> > >> > deb http://http.debian.net/debian >> squeeze-lts main >> > deb-src >> http://http.debian.net/debian squeeze-lts main >> > # LTS >> > >> > # deb cdrom:[gNewSense 3.0 _Parkes_ >> - Official i386 LIVE/INSTALL >> > Binary 20140205-19 >> <tel:20140205-19>:57]/ parkes main >> > >> > # deb cdrom:[gNewSense 3.0 _Parkes_ >> - Official i386 LIVE/INSTALL >> > Binary 20140205-19 >> <tel:20140205-19>:57]/ parkes main >> > >> > # Line commented out by installer >> because it failed to verify: >> > deb >> >> http://archive.gnewsense.org/gnewsense-three/gnewsense >> > parkes-security main >> > # Line commented out by installer >> because it failed to verify: >> > deb-src >> >> http://archive.gnewsense.org/gnewsense-three/gnewsense >> > parkes-security main >> > >> > # parkes-updates, previously known >> as 'volatile' >> > # A network mirror was not selected >> during install. The >> > following entries >> > # are provided as examples, but you >> should amend them as >> > appropriate >> > # for your mirror of choice. >> > # >> > deb http://ftp.debian.org/debian/ >> parkes-updates main >> > deb-src >> http://ftp.debian.org/debian/ parkes-updates main >> > >> > deb >> http://backports.debian.org/debian-backports >> > squeeze-backports main >> > deb http://mozilla.debian.net/ >> squeeze-backports iceweasel-esr >> > deb http://mozilla.debian.net/ >> squeeze-backports icedove-esr >> > # deb http://debian.net/debian >> experimental main >> > # deb http://mozilla.debian.net/ >> experimental iceweasel-beta >> > >> > >> > Então faço apt-get update e apt-get upgrade >> e ele me oferece >> > >> > 164 pacotes atualizados, 0 pacotes >> novos instalados, 0 a serem >> > removidos e 46 não atualizados. >> > É preciso baixar 172 MB de arquivos. >> > Depois desta operação, 51,9 MB de >> espaço em disco serão liberados. >> > >> > >> > Posso e devo atualizar sem medo? >> > Como sempreatualizei o gNewSense, então >> posso ter atualizado para o >> > necessário antes. Como posso ver se o >> pacote instalado é o vulnerável, >> > como era possível ver o do OpenSSL? >> > >> > Att. >> > >> > On 22-03-2015 10:35, Rodrigo Cunha wrote: >> >> Srs, encontrei este erro no meu >> laboratorio com Debian 6. >> >> Li no facebook que isso é um bug do bash.O >> Shellshock, pensei em >> >> divulgar porque sei que existem muitos >> servidores que não tem uma >> >> atualização sistematica do S/O e como >> estamos com O debian 7. >> >> Segundo o texto que li, ele permite que >> via protocolos distintos podem >> >> ser enviados comandos remotos para o seu >> server/desktop. >> >> >> >> >> >> root@DEB-TEST:~# env x='() { :;}; echo >> vulneravel' bash -c 'false' >> >> vulneravel >> >> root@DEB-TEST:~# cat /etc/issue >> >> Debian GNU/Linux 6.0 \n \l >> >> >> >> root@DEB-TEST:~# uname -a >> >> Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May >> 13 16:33:32 UTC 2014 i686 >> >> GNU/Linux >> >> root@DEB-TEST:~# >> >> >> >> >> >> -- >> >> Atenciosamente, >> >> Rodrigo da Silva Cunha >> >> >> > >> > >> >> -- >> | .''`. A fé não dá respostas. Só impede >> perguntas. >> | : :' : >> | `. `'` >> | `- Je vois tout >> >> >> -- >> To UNSUBSCRIBE, email to >> [email protected] >> >> <http://../../../undefined//[email protected]> >> with a subject of "unsubscribe". Trouble? >> Contact [email protected] >> >> <http://../../../undefined//[email protected]> >> Archive: >> >> https://lists.debian.org/cacnf0pjnzdgcwu1h-_gv_rfdymrf80kmhbqudykkssqujep...@mail.gmail.com >> >> >> >> >> -- >> Atenciosamente, >> Rodrigo da Silva Cunha >> >> >> >> >> -- >> Atenciosamente, >> Rodrigo da Silva Cunha >> >> >> >> >> -- >> Atenciosamente, >> Rodrigo da Silva Cunha >> >> >> >> >> >> >> -- >> Atenciosamente, >> Rodrigo da Silva Cunha >> >
