Re: [SOLVED] Re: [BUG]Shellshock

Em 22/03/2015 16:22, "Thiago Zoroastro" <thiago.zoroastro@bol.com.br> escreveu:

* Retirei linhas duplicadas que acabei colocando no sources.list quando copiei o que estava nas páginas do Debian-LTS;
* Apliquei # apt-get update & apt-get install bash (gcc-4.4 já estava instalado)
* Agora o comando que o Rodrigo Cunha apresentou não retorna mais a resposta de 'vulneravel' nem outras respostas quando mudo o comando.

Resolvido o problema que ele alertou. Aliás, já havia ouvido falar do shellshock, mas ainda não tinha seguido a solução, embora estivesse atualizando o gNewSense regularmente.

Obrigado,
Att.

On 22-03-2015 15:10, Rodrigo Cunha wrote:

Na verdade você alterou apenas a string "texto" da linha, a função desta string, neste contexto.É informar um resultado obtido através de um teste.

env x='() { :;};

Ele depende do resultado desta parte da linha para executar ou não o echo vulneravel'

Em 22 de março de 2015 15:02, Thiago Zoroastro <thiago.zoroastro@bol.com.br> escreveu:

Sim eu havia feito isso desde que você havia colocado esta linha.

Daí coloquei na lista com 'unvulneravel' e ele sai 'unvulneravel'. Quer dizer, ele sai o que você colocar ali

É claro que com 'vulneravel' e ele aparece 'vulneravel'. Vou colocar denovo:

# env x='() { :;}; echo vulneravel' bash -c 'false'
vulneravel
# env x='() { :;}; echo unvulneravel' bash -c 'false'
unvulneravel
# env x='() { :;}; echo unvulneravel' bash -c 'true'
unvulneravel
# env x='() { :;}; echo vulneravel' bash -c 'true'
vulneravel

Sou bastante leigo, mas duvido de muita coisa, então eu testo antes de tirar conclusões. Porque é que ele seria vulneravel se trocar a palavra, troca o 'resultado' também?

Se bem que você deve ter atualizado e colocado o mesmo comando e saiu um 'resultado' diferente. Desculpa a teimosia.

Thiago Zoroastro

www.participa.br/thiagozoroastro

www.blogoosfero.cc/thiagozoroastro

De: rodrigo.root.rj@gmail.com
Enviada: Domingo, 22 de Março de 2015 14:49
Para: thiago.zoroastro@bol.com.br
Assunto: [BUG]Shellshock

Joga essa linha de comando no sei bash :
env x='() { :;}; echo vulneravel' bash -c 'false'
Se o output for :
vulneravel
Você está com o bash bugado.

Em 22 de março de 2015 14:33, Thiago Zoroastro <thiago.zoroastro@bol.com.br> escreveu:

Olha isso

# bash --version
GNU bash, version 4.1.5(1)-release (i486-pc-linux-gnu)
Copyright (C) 2009 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>

This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

No repositório do gNewSense está como nenhum pacote para ser atualizado. Como verifico a vulnerabilidade? Como posso saber se este bash está vulnerável?

Att.

On 22-03-2015 13:32, Rodrigo Cunha wrote:

O bash 4.1 > Tinha essa vulnerabilidade, fiz o upgrade para o 4.2.37 e agora não tem mais a vulnerabilidade.
Fiquei curioso de como eu poderia explorar esta vulnerabilidade em meu ambiente de laboratorio para fins academicos, isso poderia render um bom artigo para a comunidade de SLivre, principalmente se conseguíssemos demostrar os perigos na pratica.

Em 22 de março de 2015 13:28, Rodrigo Cunha <rodrigo.root.rj@gmail.com> escreveu:

Solução,
adicione os repositorios :
deb http://ftp.br.debian.org/debian/ wheezy main
deb-src http://ftp.br.debian.org/debian/ wheezy main
Executei:
sudo apt-get update
sudo apt-get install --only-upgrade bash gcc-4.4

Em 22 de março de 2015 13:26, P. J. <pjotamail@gmail.com>escreveu:

Que mistureba...

Mas com relação ao bug veja qual versão do bash é a vulnerável e qual
está instalada na sua máquina... assimo como os pacotes do referentes
ao SSL... procure no google, sites com CVE's por exemplo, ou na parte
de segurança do debian no seu site...

[ ] 's

Em 22/03/15, Thiago Zoroastro<thiago.zoroastro@bol.com.br> escreveu:

> Obrigado ao Antonio Terceiro por lembrar que o Debian LTS existe. Estou
> com gNewSense e com algumas dúvidas
>
> Coloquei no terminal:
> root@root# env x='() { :;}; echo vulneravel' bash -c 'true'
> vulneravel
> root@root# env x='() { :;}; echo unvulneravel' bash -c 'false'
> unvulneravel
> root@root# env x='() { :;}; echo unvulneravel' bash -c 'true'
> unvulneravel
>
> Coloquei as linhas do Debian LTS sem contrib e non-free. Sources.list:
>
> deb http://ftp.at.debian.org/debian-backports/ squeeze-backports
> main
> deb http://ftp.de.debian.org/debian squeeze main
>
>
> ## LTS
> deb http://http.debian.net/debian/ squeeze-lts main
> deb-src http://http.debian.net/debian/ squeeze-lts main
>
> deb http://http.debian.net/debian/ squeeze main
> deb-src http://http.debian.net/debian/ squeeze main
>
> deb http://http.debian.net/debian squeeze-lts main
> deb-src http://http.debian.net/debian squeeze-lts main
> # LTS
>
> # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
> Binary 20140205-19:57]/ parkes main
>
> # deb cdrom:[gNewSense 3.0 _Parkes_ - Official i386 LIVE/INSTALL
> Binary 20140205-19:57]/ parkes main
>
> # Line commented out by installer because it failed to verify:
> deb http://archive.gnewsense.org/gnewsense-three/gnewsense
> parkes-security main
> # Line commented out by installer because it failed to verify:
> deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
> parkes-security main
>
> # parkes-updates, previously known as 'volatile'
> # A network mirror was not selected during install. The
> following entries
> # are provided as examples, but you should amend them as
> appropriate
> # for your mirror of choice.
> #
> deb http://ftp.debian.org/debian/ parkes-updates main
> deb-src http://ftp.debian.org/debian/ parkes-updates main
>
> deb http://backports.debian.org/debian-backports
> squeeze-backports main
> deb http://mozilla.debian.net/ squeeze-backports iceweasel-esr
> deb http://mozilla.debian.net/ squeeze-backports icedove-esr
> # deb http://debian.net/debian experimental main
> # deb http://mozilla.debian.net/ experimental iceweasel-beta
>
>
> Então faço apt-get update e apt-get upgrade e ele me oferece
>
> 164 pacotes atualizados, 0 pacotes novos instalados, 0 a serem
> removidos e 46 não atualizados.
> É preciso baixar 172 MB de arquivos.
> Depois desta operação, 51,9 MB de espaço em disco serão liberados.
>
>
> Posso e devo atualizar sem medo?
> Como sempreatualizei o gNewSense, então posso ter atualizado para o
> necessário antes. Como posso ver se o pacote instalado é o vulnerável,
> como era possível ver o do OpenSSL?
>
> Att.
>
> On 22-03-2015 10:35, Rodrigo Cunha wrote:
>> Srs, encontrei este erro no meu laboratorio com Debian 6.
>> Li no facebook que isso é um bug do bash.O Shellshock, pensei em
>> divulgar porque sei que existem muitos servidores que não tem uma
>> atualização sistematica do S/O e como estamos com O debian 7.
>> Segundo o texto que li, ele permite que via protocolos distintos podem
>> ser enviados comandos remotos para o seu server/desktop.
>>
>>
>> root@DEB-TEST:~# env x='() { :;}; echo vulneravel' bash -c 'false'
>> vulneravel
>> root@DEB-TEST:~# cat /etc/issue
>> Debian GNU/Linux 6.0 \n \l
>>
>> root@DEB-TEST:~# uname -a
>> Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13 16:33:32 UTC 2014 i686
>> GNU/Linux
>> root@DEB-TEST:~#
>>
>>
>> --
>> Atenciosamente,
>> Rodrigo da Silva Cunha
>>
>
>

--
| .''`. A fé não dá respostas. Só impede perguntas.
| : :' :
| `. `'`
| `- Je vois tout

--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] CACnf0pjNZDGCWu1h-_GV_RFdYmrf80kMHbqUdykKsSqUJeP3dw@mail.gmail.com" target="_blank">https://lists.debian.org/[🔎] CACnf0pjNZDGCWu1h-_GV_RFdYmrf80kMHbqUdykKsSqUJeP3dw@mail.gmail.com

--

Atenciosamente,
Rodrigo da Silva Cunha

--

Atenciosamente,
Rodrigo da Silva Cunha

--

Atenciosamente,
Rodrigo da Silva Cunha

--

Atenciosamente,
Rodrigo da Silva Cunha