Re: Bash vulnerable

To: "Robert J. Briones C." <robert.briones@gmail.com>
Cc: "debian-user-spanish@lists.debian.org" <debian-user-spanish@lists.debian.org>
Subject: Re: Bash vulnerable
From: "José \"Yukiteru\" Maldonado" <josemald89@gmail.com>
Date: Tue, 30 Sep 2014 22:08:02 -0430
Message-id: <[🔎] 542B690A.2060509@gmail.com>
In-reply-to: <[🔎] CAGUcOaER625Js4HFrhYoWoUA6ZF1L8yw1Fn=eoue3s2U8Pp-mA@mail.gmail.com>
References: <542423E2.8020903@gmail.com> <54242692.9050106@gmail.com> <pan.2014.09.25.14.33.57@gmail.com> <20140925200102.0f42fd9b@durruti> <m01ocb$do2$1@ger.gmane.org> <m091nq$nc2$1@ger.gmane.org> <20140928153526.3797a148@gmail.com> <m093e0$c7v$1@ger.gmane.org> <pan.2014.09.28.15.36.33@gmail.com> <m09abs$r9v$1@ger.gmane.org> <20140928130305.d9b15de80fbd6482b2b23f8e@riseup.net> <m09ei3$gff$1@ger.gmane.org> <20140928190213.24a58ad9@gmail.com> <m09f7v$o9u$1@ger.gmane.org> <pan.2014.09.29.14.14.53@gmail.com> <m0c9i5$idp$1@ger.gmane.org> <20140929191943.7532baaa740123346e9e21da@angel-alvarez.com.ar> <m0f1jm$spa$2@ger.gmane.org> <[🔎] CAGUcOaFZngTYg2+ohZUv4ZooiECyQ-JdBL4XJPSrAvzMsi-cjQ@mail.gmail.com> <[🔎] 542B5D10.4030202@gmail.com> <[🔎] CAGUcOaGiagx16irF9DV1cwoZ0-yXPk5h1Vrkd9KYJJfQuJMhQw@mail.gmail.com> <[🔎] 542B64FA.1010205@gmail.com> <[🔎] CAGUcOaEQCCsmsGa+Rvv3w+rq4XKv9jXRwO3c6iFYtDA+VmAgpA@mail.gmail.com> <[🔎] 542B6644.6090300@gmail.com> <[🔎] CAGUcOaER625Js4HFrhYoWoUA6ZF1L8yw1Fn=eoue3s2U8Pp-mA@mail.gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El 30/09/14 22:04, Robert J. Briones C. escribió:
> squezzy, ahora instalé la version bash_4.1-3+deb6u2_amd64.deb de
> bach, ya que tenia solo la 4.1.3, en la pagina de debian decia que
> esta version ya no era vulnerable, según pruebo creo que no.
> 
> creo que aún no hay version no vulnerable para squezzy, y por eso
> no me actualizaba.
> 
> Saludos.
> 
> El 30 de septiembre de 2014, 22:26, "José \"Yukiteru\" Maldonado"
> < josemald89@gmail.com> escribió:
> 
> El 30/09/14 21:55, Robert J. Briones C. escribió:
>>>> no entiendo entonces, por que si hago un aptitude upgrade me
>>>> sale lo siguiente : The following packages will be REMOVED: 
>>>> libnet-daemon-perl{u} libplrpc-perl{u} The following packages
>>>> will be upgraded: apache2 apache2-mpm-worker apache2-suexec 
>>>> apache2-utils apache2.2-bin apache2.2-common base-files curl
>>>> dpkg file firmware-linux-free gnupg gpgv grep ia32-libs 
>>>> libapache2-mod-fcgid libcurl3 libdbi-perl libgnutls26
>>>> libmagic1 libmysqlclient16 libpq5 libxml2 linux-base 
>>>> linux-image-2.6.32-5-amd64 linux-libc-dev mysql-client 
>>>> mysql-client-5.1 mysql-common mysql-server mysql-server-5.1 
>>>> mysql-server-core-5.1 openssh-client openssh-server php-pear
>>>> php5 php5-cgi php5-cli php5-common php5-curl php5-gd
>>>> php5-mcrypt php5-mysql policyd-weight proftpd-basic
>>>> proftpd-mod-mysql ssh tzdata The following packages are
>>>> RECOMMENDED but will NOT be installed: gnupg-curl
>>>> openssh-blacklist-extra xauth xml-core 48 packages upgraded,
>>>> 0 newly installed, 2 to remove and 0 not upgraded. Need to
>>>> get 113 MB of archives. After unpacking 5625 kB will be
>>>> used.
>>>> 
>>>> no quiero actualizar ni apache, ni php ni mysql, pero bash
>>>> si, y este último no sale en el listado.
>>>> 
>>>> Saludos.
>>>> 
>>>> El 30 de septiembre de 2014, 22:20, "José \"Yukiteru\"
>>>> Maldonado" < josemald89@gmail.com> escribió:
>>>> 
>>>> El 30/09/14 21:30, Robert J. Briones C. escribió:
>>>>>>> la ultima vez que actualicé con upgrade, quedaron
>>>>>>> muchas cosas sin funcionar, aparte, hay mucho código
>>>>>>> PHP que ya no es válido para versiones nuevas, no se si
>>>>>>> me entiendes.
>>>>>>> 
>>>>>>> saludos.
>>>>>>> 
>>>>>>> El 30 de septiembre de 2014, 21:46, "José \"Yukiteru\" 
>>>>>>> Maldonado" < josemald89@gmail.com> escribió:
>>>>>>> 
>>>>>>>> El 30/09/14 21:13, Robert J. Briones C. escribió:
>>>>>>>>> Estimado.
>>>>>>>>> 
>>>>>>>>> como puedo aplicar el parche de seguridad, tengo
>>>>>>>>> un servidor y hacer un upgrade de todo el sistema
>>>>>>>>> me preocupa por la incompatibilidad de algunas
>>>>>>>>> cosas.
>>>>>>>>> 
>>>>>>>>> Saludos.
>>>>>>>>> 
>>>>>>>>> El 30 de septiembre de 2014, 15:51, Eduardo Rios 
>>>>>>>>> <eduriosg@yahoo.es> escribió:
>>>>>>>>> 
>>>>>>>>>> El 30/09/14 a las 00:19, Angel Claudio Alvarez 
>>>>>>>>>> escribió:
>>>>>>>>>> 
>>>>>>>>>>> El Mon, 29 Sep 2014 20:48:37 +0200 Eduardo
>>>>>>>>>>> Rios <eduriosg@yahoo.es> escribió:
>>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> ¿O es que no me estoy enterando de la película?
>>>>>>>>>>>> 
>>>>>>>>>>>> No se te ocurrio leer sobre la vulnerabilidad
>>>>>>>>>>>> y como afecta a
>>>>>>>>>>> servidores?? Hay mucha documentacion dando
>>>>>>>>>>> vueltas, que la verdad comentarlo aca seria
>>>>>>>>>>> redundante
>>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> Casi todo lo que he encontrado estaba en inglés y
>>>>>>>>>> no me entero muy bien... y por eso entendí que
>>>>>>>>>> era para cualquier equipo con Linux y bash...
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> -- www.LinuxCounter.net
>>>>>>>>>> 
>>>>>>>>>> Registered user #558467 has 2 linux machines
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> -- To UNSUBSCRIBE, email to 
>>>>>>>>>> debian-user-spanish-REQUEST@lists.debian.org with
>>>>>>>>>> a subject of "unsubscribe". Trouble? Contact 
>>>>>>>>>> listmaster@lists.debian.org Archive: 
>>>>>>>>>> https://lists.debian.org/m0f1jm$spa$2@ger.gmane.org
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>>> 
Solo actualiza tu servidor, dudo mucho que la actualización
>>>>>>>> vaya a romper la compatibilidad con tus scripts a no
>>>>>>>> ser que tus scripts desde un principio hayan estado
>>>>>>>> mal escritos.
>>>>>>>> 
>>>>>>>> -- Dios en su cielo, todo bien en la Tierra 
>>>>>>>> *****************************************
>>>>>>>> 
>>>>>>>> 
>>>>>>>> -- To UNSUBSCRIBE, email to 
>>>>>>>> debian-user-spanish-REQUEST@lists.debian.org with a
>>>>>>>> subject of "unsubscribe". Trouble? Contact 
>>>>>>>> listmaster@lists.debian.org Archive: 
>>>>>>>> [🔎] 542B5D10.4030202@gmail.com">https://lists.debian.org/[🔎] 542B5D10.4030202@gmail.com
>>>>>>>> 
>>>>>>>> 
>>>>>>> 
>>>> 
>>>> Si entiendo, pero tu mismo lo has dicho:
>>>> 
>>>>>>> hay mucho código PHP que ya no es válido para
>>>>>>> versiones nuevas
>>>> 
>>>> Eso es válido, pero esta no es una nueva versión de bash, es
>>>> una actualización de seguridad, no un cambio completo y mayor
>>>> de versión.
>>>> 
>>>> 
>>>>> 
>>>> 
> 
> Mmm raro, que versión de bash tienes en tu sistema, pasa la salida
> del comando:
> 
> bash --version
> 
> Y además ¿Qué rama Debian estás usando?
> 
>> 
> 

Pues según leo si está parcheada para Squeeze en LTS, información
sobre el tema acá:

https://security-tracker.debian.org/tracker/CVE-2014-7169

La versión con el patch para Squeeze es la 4.1-3+deb6u2, precisamente
la que dices tener. ¿Qué tests estas usando para probar si estas
parcheado o no y cuales son sus salidas?


- -- 
Dios en su cielo, todo bien en la Tierra
*****************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=W8yh
-----END PGP SIGNATURE-----

Reply to:

References:
- Re: Bash vulnerable
  - From: "Robert J. Briones C." <robert.briones@gmail.com>
- Re: Bash vulnerable
  - From: "José \"Yukiteru\" Maldonado" <josemald89@gmail.com>
- Re: Bash vulnerable
  - From: "Robert J. Briones C." <robert.briones@gmail.com>
- Re: Bash vulnerable
  - From: "José \"Yukiteru\" Maldonado" <josemald89@gmail.com>
- Re: Bash vulnerable
  - From: "Robert J. Briones C." <robert.briones@gmail.com>
- Re: Bash vulnerable
  - From: "José \"Yukiteru\" Maldonado" <josemald89@gmail.com>
- Re: Bash vulnerable
  - From: "Robert J. Briones C." <robert.briones@gmail.com>

Prev by Date: Re: Bash vulnerable
Next by Date: Re: Bash vulnerable
Previous by thread: Re: Bash vulnerable
Next by thread: Re: Bash vulnerable
Index(es):
- Date
- Thread