[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [BUG]Shellshock

Aviso: (...) "The mail server responded:  4.7.1 <deb...
Não foi possível enviar pelo Icedove.
 
Em meus computadores eu faço testes. No momento estou usando um Kaiana beta em dois notebooks (pessoal e um somente de testes). Já tive experiências falhas com pacotes, estou habituado a instalar o que for que eu preciso usar.

Adicionei as linhas do Debian-LTS no gNewSense e pelo jeito arrumou/corrigiu.

Porque comandos que ele passou
env x='() { :;}; echo vulneravel' bash -c 'false'

não retorna mais nenhuma mensagem, nem com 'unvelneravel' nem com 'true' nem de forma alguma.
 
 
Thiago Zoroastro
 www.participa.br/thiagozoroastro
www.blogoosfero.cc/thiagozoroastro



De: terceiro@debian.org
Enviada: Domingo, 22 de Março de 2015 22:22
Para: debian-user-portuguese@lists.debian.org
Assunto: [BUG]Shellshock

On Sun, Mar 22, 2015 at 09:23:34PM -0300, Thiago Zoroastro wrote:
>
> Sir,
>
> É claro que bugaria. Às vezes coloco algumas linhas diferentes da
> família Debian e coloco # apt-get upgrade para ver quais pacotes
> precisariam ser atualizados. Na maioria das vezes nem é possível ou não
> faço. Como neste que uso é gNewSense, tomo cuidado para instalar apenas
> livres..
>
> Percebi que as linhas estavam duplicadas e tirei.

O problema não é ter linhas duplicadas, isso só faz seu `apt-get update`
ficar mais lento, mas não vai causar problemas. O problema é misturar
pacotes de distribuições diferentes. *Muitas* coisas podem ser
diferentes entre os sistemas, e eventualmente você *vai* ter problemas.

> Fiz o # apt-get update
> apenas para instalar o bash não vulnerável. Mas fiquei com vontade de
> ter feito os comandos do https://shelshocker.net ANTES de ter
> atualizado, para ver se apontaria a vulnerabilidade.
>
> Jamais seria possível atualizar todos aqueles pacotes. No momento julgo
> que a mensagem foi até desnecessária, tenho tentado falar menos. Porque
> falar menos tem menos chance equivocar-me. Tanto é que assisto todas
> aquelas listas. É possível atualizar SOMENTE o bash e depois comentar a
> linha do Debian-LTS.

Eu acho muito difícil que o gNewSense não tenha atualizações de
segurança dele próprio. Se realmente não tiver, você deveria procurar
outro sistema, ou procurar ajuda sobre o gNewSense numa lista do
gNewSense.

--
Antonio Terceiro <terceiro@debian.org>

Reply to: