[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Bash vulnerable

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El 30/09/14 22:10, Robert J. Briones C. escribió:
> este:
> 
> env X='() { (tecnoelite.cl)=>\' bash -c "echo date"; cat echo ; rm
> -f echo date
> 
> y sale esto :
> 
> date cat: echo: No existe el fichero o el directorio
> 
> Saludos.
> 
> 
> El 30 de septiembre de 2014, 22:38, "José \"Yukiteru\" Maldonado"
> < josemald89@gmail.com> escribió:
> 
> El 30/09/14 22:04, Robert J. Briones C. escribió:
>>>> squezzy, ahora instalé la version bash_4.1-3+deb6u2_amd64.deb
>>>> de bach, ya que tenia solo la 4.1.3, en la pagina de debian
>>>> decia que esta version ya no era vulnerable, según pruebo
>>>> creo que no.
>>>> 
>>>> creo que aún no hay version no vulnerable para squezzy, y por
>>>> eso no me actualizaba.
>>>> 
>>>> Saludos.
>>>> 
>>>> El 30 de septiembre de 2014, 22:26, "José \"Yukiteru\"
>>>> Maldonado" < josemald89@gmail.com> escribió:
>>>> 
>>>> El 30/09/14 21:55, Robert J. Briones C. escribió:
>>>>>>> no entiendo entonces, por que si hago un aptitude
>>>>>>> upgrade me sale lo siguiente : The following packages
>>>>>>> will be REMOVED: libnet-daemon-perl{u} libplrpc-perl{u}
>>>>>>> The following packages will be upgraded: apache2
>>>>>>> apache2-mpm-worker apache2-suexec apache2-utils
>>>>>>> apache2.2-bin apache2.2-common base-files curl dpkg
>>>>>>> file firmware-linux-free gnupg gpgv grep ia32-libs 
>>>>>>> libapache2-mod-fcgid libcurl3 libdbi-perl libgnutls26 
>>>>>>> libmagic1 libmysqlclient16 libpq5 libxml2 linux-base 
>>>>>>> linux-image-2.6.32-5-amd64 linux-libc-dev mysql-client 
>>>>>>> mysql-client-5.1 mysql-common mysql-server
>>>>>>> mysql-server-5.1 mysql-server-core-5.1 openssh-client
>>>>>>> openssh-server php-pear php5 php5-cgi php5-cli
>>>>>>> php5-common php5-curl php5-gd php5-mcrypt php5-mysql
>>>>>>> policyd-weight proftpd-basic proftpd-mod-mysql ssh
>>>>>>> tzdata The following packages are RECOMMENDED but will
>>>>>>> NOT be installed: gnupg-curl openssh-blacklist-extra
>>>>>>> xauth xml-core 48 packages upgraded, 0 newly installed,
>>>>>>> 2 to remove and 0 not upgraded. Need to get 113 MB of
>>>>>>> archives. After unpacking 5625 kB will be used.
>>>>>>> 
>>>>>>> no quiero actualizar ni apache, ni php ni mysql, pero
>>>>>>> bash si, y este último no sale en el listado.
>>>>>>> 
>>>>>>> Saludos.
>>>>>>> 
>>>>>>> El 30 de septiembre de 2014, 22:20, "José \"Yukiteru\" 
>>>>>>> Maldonado" < josemald89@gmail.com> escribió:
>>>>>>> 
>>>>>>> El 30/09/14 21:30, Robert J. Briones C. escribió:
>>>>>>>>>> la ultima vez que actualicé con upgrade,
>>>>>>>>>> quedaron muchas cosas sin funcionar, aparte, hay
>>>>>>>>>> mucho código PHP que ya no es válido para
>>>>>>>>>> versiones nuevas, no se si me entiendes.
>>>>>>>>>> 
>>>>>>>>>> saludos.
>>>>>>>>>> 
>>>>>>>>>> El 30 de septiembre de 2014, 21:46, "José
>>>>>>>>>> \"Yukiteru\" Maldonado" < josemald89@gmail.com>
>>>>>>>>>> escribió:
>>>>>>>>>> 
>>>>>>>>>>> El 30/09/14 21:13, Robert J. Briones C.
>>>>>>>>>>> escribió:
>>>>>>>>>>>> Estimado.
>>>>>>>>>>>> 
>>>>>>>>>>>> como puedo aplicar el parche de seguridad,
>>>>>>>>>>>> tengo un servidor y hacer un upgrade de todo
>>>>>>>>>>>> el sistema me preocupa por la
>>>>>>>>>>>> incompatibilidad de algunas cosas.
>>>>>>>>>>>> 
>>>>>>>>>>>> Saludos.
>>>>>>>>>>>> 
>>>>>>>>>>>> El 30 de septiembre de 2014, 15:51, Eduardo
>>>>>>>>>>>> Rios <eduriosg@yahoo.es> escribió:
>>>>>>>>>>>> 
>>>>>>>>>>>>> El 30/09/14 a las 00:19, Angel Claudio
>>>>>>>>>>>>> Alvarez escribió:
>>>>>>>>>>>>> 
>>>>>>>>>>>>>> El Mon, 29 Sep 2014 20:48:37 +0200
>>>>>>>>>>>>>> Eduardo Rios <eduriosg@yahoo.es>
>>>>>>>>>>>>>> escribió:
>>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>> ¿O es que no me estoy enterando de la
>>>>>>>>>>>>> película?
>>>>>>>>>>>>>>> 
>>>>>>>>>>>>>>> No se te ocurrio leer sobre la
>>>>>>>>>>>>>>> vulnerabilidad y como afecta a
>>>>>>>>>>>>>> servidores?? Hay mucha documentacion
>>>>>>>>>>>>>> dando vueltas, que la verdad comentarlo
>>>>>>>>>>>>>> aca seria redundante
>>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>> Casi todo lo que he encontrado estaba en
>>>>>>>>>>>>> inglés y no me entero muy bien... y por eso
>>>>>>>>>>>>> entendí que era para cualquier equipo con
>>>>>>>>>>>>> Linux y bash...
>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>> -- www.LinuxCounter.net
>>>>>>>>>>>>> 
>>>>>>>>>>>>> Registered user #558467 has 2 linux
>>>>>>>>>>>>> machines
>>>>>>>>>>>>> 
>>>>>>>>>>>>> 
>>>>>>>>>>>>> -- To UNSUBSCRIBE, email to 
>>>>>>>>>>>>> debian-user-spanish-REQUEST@lists.debian.org
>>>>>>>>>>>>> with a subject of "unsubscribe". Trouble?
>>>>>>>>>>>>> Contact listmaster@lists.debian.org
>>>>>>>>>>>>> Archive: 
>>>>>>>>>>>>> https://lists.debian.org/m0f1jm$spa$2@ger.gmane.org
>>>>>>>>>>>>>
>>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>>>>
>
>>>>>>>>>>>>> 
Solo actualiza tu servidor, dudo mucho que la actualización
>>>>>>>>>>> vaya a romper la compatibilidad con tus scripts
>>>>>>>>>>> a no ser que tus scripts desde un principio
>>>>>>>>>>> hayan estado mal escritos.
>>>>>>>>>>> 
>>>>>>>>>>> -- Dios en su cielo, todo bien en la Tierra 
>>>>>>>>>>> *****************************************
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> -- To UNSUBSCRIBE, email to 
>>>>>>>>>>> debian-user-spanish-REQUEST@lists.debian.org
>>>>>>>>>>> with a subject of "unsubscribe". Trouble?
>>>>>>>>>>> Contact listmaster@lists.debian.org Archive: 
>>>>>>>>>>> [🔎] 542B5D10.4030202@gmail.com">https://lists.debian.org/[🔎] 542B5D10.4030202@gmail.com
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>>>>> 
Si entiendo, pero tu mismo lo has dicho:
>>>>>>> 
>>>>>>>>>> hay mucho código PHP que ya no es válido para 
>>>>>>>>>> versiones nuevas
>>>>>>> 
>>>>>>> Eso es válido, pero esta no es una nueva versión de
>>>>>>> bash, es una actualización de seguridad, no un cambio
>>>>>>> completo y mayor de versión.
>>>>>>> 
>>>>>>> 
>>>>>>>> 
>>>>>>> 
>>>> 
>>>> Mmm raro, que versión de bash tienes en tu sistema, pasa la
>>>> salida del comando:
>>>> 
>>>> bash --version
>>>> 
>>>> Y además ¿Qué rama Debian estás usando?
>>>> 
>>>>> 
>>>> 
> 
> Pues según leo si está parcheada para Squeeze en LTS, información 
> sobre el tema acá:
> 
> https://security-tracker.debian.org/tracker/CVE-2014-7169
> 
> La versión con el patch para Squeeze es la 4.1-3+deb6u2,
> precisamente la que dices tener. ¿Qué tests estas usando para
> probar si estas parcheado o no y cuales son sus salidas?
> 
> 
>> 
> 

Pues esa salida es perfectamente normal, está parcheado el bug. De no
ser así la salida del comando te daría ademas la fecha del sistema y
te crearía un archivo de nombre echo. Por eso la instrucción de borrar
echo (rm -rf echo) no es efectiva.

Prueba con estas otras ordenes, para que salgas de cualquier duda:

Primera vulnerabilidad:

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

env check='Not vulnerable' x='() { :;}; check=Vulnerable' bash -c
'echo $check'

En el primer caso, solo debe salirte "hello", eso significa que no
eres vulnerable. La segunda prueba debe devolverte "Not vulnerable".

Segunda vulnerabilidad:

env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo
vulnerable' bash -c "echo test"

Esta ultima solo debe devolverte "test", con esa ya sabes que ambas
vulnerabilidades están corregidas.

En cuanto a los paquetes de más, no estoy seguro si habrás seguido la
guía para Squeeze LTS, pero vale que le des una ojeada solo por si
acaso para ver si te falta alguna configuración de APT para manejar
los nuevos paquetes, además recuerda que las actualizaciones de
seguridad son por el bien de tu servidor y los servicios que presta, a
no ser que quieras estar vulnerable es mejor hacerlas y evitar males
peores.

https://wiki.debian.org/LTS/Using


- -- 
Dios en su cielo, todo bien en la Tierra
*****************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=h7hr
-----END PGP SIGNATURE-----
Reply to: