On Sun, Mar 22, 2015 at 10:35:35AM -0300, Rodrigo Cunha wrote:
> Srs, encontrei este erro no meu laboratorio com Debian 6.
> Li no facebook que isso é um bug do bash.O Shellshock, pensei em divulgar
> porque sei que existem muitos servidores que não tem uma atualização
> sistematica do S/O e como estamos com O debian 7.
> Segundo o texto que li, ele permite que via protocolos distintos podem ser
> enviados comandos remotos para o seu server/desktop.
>
>
> root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false'
> vulneravel
> root@DEB-TEST:~# cat /etc/issue
> Debian GNU/Linux 6.0 \n \l
>
> root@DEB-TEST:~# uname -a
> Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686
> GNU/Linux
> root@DEB-TEST:~#
Quem ainda estiver rodando squeeze deve adicionar o repositório
squeeze-lts, que fornece updates de segurança para a oldstable por mais
tempo ainda depois do final do período de suporte de segurança normal (1
ano depois do lançamento da próxima stable):
https://wiki.debian.org/LTS
Esse problema de segurança do bash por exemplo já está corrigido para o
squeeze desde setembro do ano passado:
https://lists.debian.org/debian-lts-announce/2014/09/msg00020.html
http://metadata.ftp-master.debian.org/changelogs//main/b/bash/bash_4.1-3+deb6u2_changelog
--
Antonio Terceiro <terceiro@debian.org>
Attachment:
signature.asc
Description: Digital signature