[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [BUG]Shellshock

O bash 4.1 > Tinha essa vulnerabilidade, fiz o upgrade para o 4.2.37 e agora não tem mais a vulnerabilidade.
Fiquei curioso de como eu poderia explorar esta vulnerabilidade em meu ambiente de laboratorio para fins academicos, isso poderia render um bom artigo para a comunidade de SLivre, principalmente se conseguíssemos  demostrar os perigos na pratica.


Em 22 de março de 2015 13:28, Rodrigo Cunha <rodrigo.root.rj@gmail.com> escreveu:
Solução,
adicione os repositorios :
deb http://ftp.br.debian.org/debian/ wheezy main
deb-src http://ftp.br.debian.org/debian/ wheezy main
Executei:
sudo apt-get update
sudo apt-get install --only-upgrade bash gcc-4.4

Em 22 de março de 2015 13:26, P. J. <pjotamail@gmail.com> escreveu:

Que mistureba...

Mas com relação ao bug veja qual versão do bash é a vulnerável e qual
está instalada na sua máquina... assimo como os pacotes do referentes
ao SSL... procure no google, sites com CVE's por exemplo, ou na parte
de segurança do debian no seu site...

[  ] 's

Em 22/03/15, Thiago Zoroastro<thiago.zoroastro@bol.com.br> escreveu:
> Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou
> com gNewSense e com algumas dúvidas
>
> Coloquei no terminal:
> root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
> vulneravel
> root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
> unvulneravel
> root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
> unvulneravel
>
> Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list:
>
>         deb http://ftp.at.debian.org/debian-backports/ squeeze-backports
>         main
>         deb http://ftp.de.debian.org/debian squeeze main
>
>
>         ## LTS
>         deb http://http.debian.net/debian/ squeeze-lts main
>         deb-src http://http.debian.net/debian/ squeeze-lts main
>
>         deb http://http.debian.net/debian/ squeeze main
>         deb-src http://http.debian.net/debian/ squeeze main
>
>         deb http://http.debian.net/debian squeeze-lts main
>         deb-src http://http.debian.net/debian squeeze-lts main
>         # LTS
>
>         # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
>         Binary 20140205-19:57]/ parkes main
>
>         # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
>         Binary 20140205-19:57]/ parkes main
>
>         # Line commented out by installer because it failed to verify:
>         deb http://archive.gnewsense.org/gnewsense-three/gnewsense
>         parkes-security main
>         # Line commented out by installer because it failed to verify:
>         deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
>         parkes-security main
>
>         # parkes-updates, previously known as 'volatile'
>         # A network mirror was not selected during install.  The
>         following entries
>         # are provided as examples, but you should amend them as
> appropriate
>         # for your mirror of choice.
>         #
>         deb http://ftp.debian.org/debian/ parkes-updates main
>         deb-src http://ftp.debian.org/debian/ parkes-updates main
>
>         deb http://backports.debian.org/debian-backports
>         squeeze-backports main
>         deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
>         deb http://mozilla.debian.net/ squeeze-backports icedove-esr
>         # deb http://debian.net/debian experimental main
>         # deb http://mozilla.debian.net/ experimental iceweasel-beta
>
>
> Então faço apt-get update e apt-get upgrade e ele me oferece
>
>         164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem
>         removidos e 46 não atualizados.
>         É preciso baixar 172 MB de arquivos.
>         Depois desta operação, 51,9 MB de espaço em disco serão liberados.
>
>
> Posso e devo atualizar sem medo?
> Como sempreatualizei o gNewSense, então posso ter atualizado para o
> necessário antes. Como posso ver se o pacote instalado é o vulnerável,
> como era possível ver o do OpenSSL?
>
> Att.
>
> On 22-03-2015 10:35, Rodrigo Cunha wrote:
>> Srs, encontrei este erro no meu laboratorio com Debian 6.
>> Li no facebook que isso é um bug do bash.O Shellshock, pensei em
>> divulgar porque sei que existem muitos servidores que não tem uma
>> atualização sistematica do S/O e como estamos com O debian 7.
>> Segundo o texto que li, ele permite que via protocolos distintos podem
>> ser enviados comandos remotos para o seu server/desktop.
>>
>>
>> root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false'
>> vulneravel
>> root@DEB-TEST:~# cat /etc/issue
>> Debian GNU/Linux 6.0 \n \l
>>
>> root@DEB-TEST:~# uname -a
>> Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686
>> GNU/Linux
>> root@DEB-TEST:~#
>>
>>
>> --
>> Atenciosamente,
>> Rodrigo da Silva Cunha
>>
>
>


--
|  .''`.   A fé não dá respostas. Só impede perguntas.
| : :'  :
| `. `'`
|   `-   Je vois tout


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] CACnf0pjNZDGCWu1h-_GV_RFdYmrf80kMHbqUdykKsSqUJeP3dw@mail.gmail.com" target="_blank">https://lists.debian.org/[🔎] CACnf0pjNZDGCWu1h-_GV_RFdYmrf80kMHbqUdykKsSqUJeP3dw@mail.gmail.com




--
Atenciosamente,
Rodrigo da Silva Cunha




--
Atenciosamente,
Rodrigo da Silva Cunha

Reply to: