On Sun, Mar 22, 2015 at 10:35:35AM -0300, Rodrigo Cunha wrote: > Srs, encontrei este erro no meu laboratorio com Debian 6. > Li no facebook que isso é um bug do bash.O Shellshock, pensei em divulgar > porque sei que existem muitos servidores que não tem uma atualização > sistematica do S/O e como estamos com O debian 7. > Segundo o texto que li, ele permite que via protocolos distintos podem ser > enviados comandos remotos para o seu server/desktop. > > > root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false' > vulneravel > root@DEB-TEST:~# cat /etc/issue > Debian GNU/Linux 6.0 \n \l > > root@DEB-TEST:~# uname -a > Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686 > GNU/Linux > root@DEB-TEST:~# Quem ainda estiver rodando squeeze deve adicionar o repositório squeeze-lts, que fornece updates de segurança para a oldstable por mais tempo ainda depois do final do período de suporte de segurança normal (1 ano depois do lançamento da próxima stable): https://wiki.debian.org/LTS Esse problema de segurança do bash por exemplo já está corrigido para o squeeze desde setembro do ano passado: https://lists.debian.org/debian-lts-announce/2014/09/msg00020.html http://metadata.ftp-master.debian.org/changelogs//main/b/bash/bash_4.1-3+deb6u2_changelog -- Antonio Terceiro <terceiro@debian.org>
Attachment:
signature.asc
Description: Digital signature