Mas com relação ao bug veja qual versão do bash é a
vulnerável e qual
está instalada na sua máquina... assimo como os pacotes do
referentes
ao SSL... procure no google, sites com CVE's por exemplo, ou
na parte
de segurança do debian no seu site...
> Obrigado ao Antonio Terceiro por
lembrar que o Debian LTS existe. Estou
> com gNewSense e com algumas dúvidas
>
> Coloquei no terminal:
> root@root# env x='() { :;}; echo vulneravel' bash
-c 'true'
> vulneravel
> root@root# env x='() { :;}; echo unvulneravel' bash
-c 'false'
> unvulneravel
> root@root# env x='() { :;}; echo unvulneravel' bash
-c 'true'
> unvulneravel
>
> Coloquei as linhas do Debian LTS sem contrib e
non-free. Sources.list:
>
> deb http://ftp.at.debian.org/debian-backports/
squeeze-backports
> main
> deb http://ftp.de.debian.org/debian
squeeze main
>
>
> ## LTS
> deb http://http.debian.net/debian/
squeeze-lts main
> deb-src http://http.debian.net/debian/
squeeze-lts main
>
> deb http://http.debian.net/debian/
squeeze main
> deb-src http://http.debian.net/debian/
squeeze main
>
> deb http://http.debian.net/debian
squeeze-lts main
> deb-src http://http.debian.net/debian
squeeze-lts main
> # LTS
>
> # deb cdrom:[gNewSense 3.0 _Parkes_ -
Official i386 LIVE/INSTALL
> Binary 20140205-19:57]/
parkes main
>
> # deb cdrom:[gNewSense 3.0 _Parkes_ -
Official i386 LIVE/INSTALL
> Binary 20140205-19:57]/
parkes main
>
> # Line commented out by installer because
it failed to verify:
> deb http://archive.gnewsense.org/gnewsense-three/gnewsense
> parkes-security main
> # Line commented out by installer because
it failed to verify:
> deb-src http://archive.gnewsense.org/gnewsense-three/gnewsense
> parkes-security main
>
> # parkes-updates, previously known as
'volatile'
> # A network mirror was not selected during
install. The
> following entries
> # are provided as examples, but you should
amend them as
> appropriate
> # for your mirror of choice.
> #
> deb http://ftp.debian.org/debian/
parkes-updates main
> deb-src http://ftp.debian.org/debian/
parkes-updates main
>
> deb http://backports.debian.org/debian-backports
> squeeze-backports main
> deb http://mozilla.debian.net/
squeeze-backports iceweasel-esr
> deb http://mozilla.debian.net/
squeeze-backports icedove-esr
> # deb http://debian.net/debian
experimental main
> # deb http://mozilla.debian.net/
experimental iceweasel-beta
>
>
> Então faço apt-get update e apt-get upgrade e ele
me oferece
>
> 164 pacotes atualizados, 0 pacotes novos
instalados, 0 a serem
> removidos e 46 não atualizados.
> É preciso baixar 172 MB de arquivos.
> Depois desta operação, 51,9 MB de espaço em
disco serão liberados.
>
>
> Posso e devo atualizar sem medo?
> Como sempreatualizei o gNewSense, então posso ter
atualizado para o
> necessário antes. Como posso ver se o pacote
instalado é o vulnerável,
> como era possível ver o do OpenSSL?
>
> Att.
>
> On 22-03-2015 10:35, Rodrigo Cunha wrote:
>> Srs, encontrei este erro no meu laboratorio com
Debian 6.
>> Li no facebook que isso é um bug do bash.O
Shellshock, pensei em
>> divulgar porque sei que existem muitos
servidores que não tem uma
>> atualização sistematica do S/O e como estamos
com O debian 7.
>> Segundo o texto que li, ele permite que via
protocolos distintos podem
>> ser enviados comandos remotos para o seu
server/desktop.
>>
>>
>> root@DEB-TEST:~# env x='() { :;}; echo
vulneravel' bash -c 'false'
>> vulneravel
>> root@DEB-TEST:~# cat /etc/issue
>> Debian GNU/Linux 6.0 \n \l
>>
>> root@DEB-TEST:~# uname -a
>> Linux DEB-TEST 2.6.32-5-686 #1 SMP Tue May 13
16:33:32 UTC 2014 i686
>> GNU/Linux
>> root@DEB-TEST:~#
>>
>>
>> --
>> Atenciosamente,
>> Rodrigo da Silva Cunha
>>
>
>
--
| .''`. A fé não dá respostas. Só impede perguntas.
| : :' :
| `. `'`
| `- Je vois tout