Re: Bash vulnerable
El Sun, 28 Sep 2014 15:45:35 +0200, Eduardo Rios escribió:
> El 28/09/14 a las 15:35, Manolo Díaz escribió:
>> El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), Eduardo Rios
>> escribió:
>>
>>> El 25/09/14 a las 20:54, Eduardo Rios escribió:
>>>> El 25/09/14 a las 20:01, Angel Vicente escribió:
>>>>
>>>>> Para testing todavía no hay ¿no?
>>>>
>>>> A mi por lo menos si me ha salido actualización, aunque eso si, sólo
>>>> para el primer fallo. Queda pendiente para el segundo.
>>>>
>>>> He pasado de bash 4.3-9 a 4.3-9.1
>>>>
>>>>
>>>>
>>> Hoy he actualizado a bash 4.3-9.2 y creía que estaba resuelto el
>>> segundo fallo, pero no, sigue siendo vulnerable.
Te ha dado fuerte con el bug ¿eh? :-)
>> Pues yo diría que ya no lo es:
>>
>> https://security-tracker.debian.org/tracker/CVE-2014-7169
Exacto, no lo es.
> Pues ahí dirá que no, pero teniendo bash 4.3-9.2, este es el resultado:
>
> edurios@debian:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear"
> vulnerable Fallo 2 sin parchear
> edurios@debian:~$
En wheezy dice lo mismo:
sm01@stt008:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear"
vulnerable
Fallo 2 sin parchear
El comando será incorrecto, prueba con estos otros dos:
http://serverfault.com/questions/631257/how-to-test-if-my-server-is-vulnerable-to-the-shellshock-bug
Saludos,
--
Camaleón
Reply to: