[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Bash vulnerable

El Sun, 28 Sep 2014 15:45:35 +0200, Eduardo Rios escribió:

> El 28/09/14 a las 15:35, Manolo Díaz escribió:
>> El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), Eduardo Rios
>> escribió:
>>
>>> El 25/09/14 a las 20:54, Eduardo Rios escribió:
>>>> El 25/09/14 a las 20:01, Angel Vicente escribió:
>>>>
>>>>> Para testing todavía no hay ¿no?
>>>>
>>>> A mi por lo menos si me ha salido actualización, aunque eso si, sólo
>>>> para el primer fallo. Queda pendiente para el segundo.
>>>>
>>>> He pasado de bash 4.3-9 a 4.3-9.1
>>>>
>>>>
>>>>
>>> Hoy he actualizado a bash 4.3-9.2 y creía que estaba resuelto el
>>> segundo fallo, pero no, sigue siendo vulnerable.

Te ha dado fuerte con el bug ¿eh? :-)

>> Pues yo diría que ya no lo es:
>>
>> https://security-tracker.debian.org/tracker/CVE-2014-7169

Exacto, no lo es.

> Pues ahí dirá que no, pero teniendo bash 4.3-9.2, este es el resultado:
> 
> edurios@debian:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear"
> vulnerable Fallo 2 sin parchear 
> edurios@debian:~$

En wheezy dice lo mismo:

sm01@stt008:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear"
vulnerable
Fallo 2 sin parchear

El comando será incorrecto, prueba con estos otros dos:

http://serverfault.com/questions/631257/how-to-test-if-my-server-is-vulnerable-to-the-shellshock-bug

Saludos,

-- 
Camaleón
Reply to: