Página 1 de 2
[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’ Endian Firewall
Enviado: 01 Out 2014 12:14
por marceloleaes
Segue pacote de correção para o Bug encontrado no pacote bash nas últimas semanas. Validei somente com a versão 2.4.1 , peço aos colegas que validem nas demais versões e postem se tudo correu bem e se o bug foi resolvido.
Para testar a vulnerabilidade utilize o comando:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Após aplicar o patch de correção o comando começa a responder como inválido.
Recomendação é aplicar este patch o mais rápido possível pois a interface Web do Endian utiliza muito o recurso e pode ser afetada.
Para aplicar:
Bom proveito
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’
Enviado: 01 Out 2014 12:23
por marceloleaes
Script para teste de todas as vulnerabilidades encontradas, após patch nenhuma continua funcional.
Código: Selecionar todos
#!/bin/bash
r=`x="() { :; }; echo x" bash -c ""`
if [ -n "$r" ]; then
echo -e '\033[91mVulnerable to CVE-2014-6271 (original shellshock)\033[39m'
else
echo -e '\033[92mNot vulnerable to CVE-2014-6271 (original shellshock)\033[39m'
fi
cd /tmp;rm echo 2>/dev/null
X='() { function a a>\' bash -c echo 2>/dev/null > /dev/null
if [ -e echo ]; then
echo -e "\033[91mVulnerable to CVE-2014-7169 (taviso bug)\033[39m"
else
echo -e "\033[92mNot vulnerable to CVE-2014-7169 (taviso bug)\033[39m"
fi
bash -c "true $(printf '<<EOF %.0s' {1..16})" 2>/dev/null
if [ $? != 0 ]; then
echo -e "\033[91mVulnerable to CVE-2014-7186 (redir_stack bug)\033[39m"
else
echo -e "\033[92mNot vulnerable to CVE-2014-7186 (redir_stack bug)\033[39m"
fi
bash -c "`for i in {1..200}; do echo -n "for x$i in; do :;"; done; for i in {1..200}; do echo -n "done;";done`" 2>/dev/null
if [ $? != 0 ]; then
echo -e "\033[91mVulnerable to CVE-2014-7187 (nested loops off by one)\033[39m"
else
echo -e "\033[96mTest for CVE-2014-7187 not reliable without address sanitizer\033[39m"
fi
r=`a="() { echo x;}" bash -c a 2>/dev/null`
if [ -n "$r" ]; then
echo -e "\033[93mVariable function parser still active, likely vulnerable to yet unknown parser bugs like CVE-2014-6277 (lcamtuf bug)\033[39m"
else
echo -e "\033[92mVariable function parser inactive, likely safe from unknown parser bugs\033[39m"
fi
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’
Enviado: 01 Out 2014 12:51
por Eduardo Jonck
Bom dia a todos,
Testado o pacote na versão 2.5.1 e também está OK.
Abraço!!!
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’
Enviado: 01 Out 2014 13:27
por Elton
Boa tarde,
instalei o pacote no endian 2.5.1
Rodei no meu endian e ta retornando assim
root@perseu:~ # env x='() { :;}; echo vulnerable' bash -c 'echo hello'
hello
ta certo?
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’ Endian Firewall
Enviado: 01 Out 2014 13:36
por JeffersonSantos
caro amigo,...
pergunta simples,...rsrsrsrs
como saberei se devo realizar ou não este update
se realmente no meu caso é necessario.
Grato!
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’
Enviado: 01 Out 2014 14:27
por marceloleaes
Está certo, em um bash vulneravel a saida seria
vulnerable
hello
[quote="Elton Pereira"]
Boa tarde,
instalei o pacote no endian 2.5.1
Rodei no meu endian e ta retornando assim
root@perseu:~ # env x='() { :;}; echo vulnerable' bash -c 'echo hello'
hello
ta certo?
[/quote]
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’
Enviado: 01 Out 2014 14:27
por marceloleaes
thanks 4 report
[quote="Eduardo Jonck"]
Bom dia a todos,
Testado o pacote na versão 2.5.1 e também está OK.
Abraço!!!
[/quote]
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’ Endian Firewall
Enviado: 01 Out 2014 14:27
por marceloleaes
Todos os Endians são vulneráveis, aplicar o quanto antes.
[quote="JeffersonSantos"]
caro amigo,...
pergunta simples,...rsrsrsrs
como saberei se devo realizar ou não este update
se realmente no meu caso é necessario.
Grato!
[/quote]
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’ Endian Firewall
Enviado: 01 Out 2014 14:37
por Elton
ah Marcelo é que só apareceu o hello e no seu apresentou uma frase em inglês!!!
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’ Endian Firewall
Enviado: 01 Out 2014 14:41
por marceloleaes
Também é valido o erro quer dizer que não pode interpretar, e não deve... o que não pode aparecer é vulnerable, pois é ali que os caras andam inserindo comandos aleatórios entendeu?
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’ Endian Firewall
Enviado: 01 Out 2014 14:48
por Elton
ah então ta de boas man!!!!
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’ Endian Firewall
Enviado: 01 Out 2014 16:21
por Zeks
Após a aplicação do patch o resultado do comando foi apenas Hello !!!
Sucesso ou não
Abraço !
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’ Endian Firewall
Enviado: 01 Out 2014 16:36
por Elton
Marcelo disse que é com sucesso!!!
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’ Endian Firewall
Enviado: 02 Out 2014 11:06
por JeffersonSantos
ok,..
realizei,...endian 2.4.1 + script perfeito + kernel
"hello"
grato amigo pela dedicação e sua ajuda.
forte abraço,
Re:[Bug] Update de segurança vulnerabilidade Bash ‘Shellshock’ Endian Firewall
Enviado: 02 Out 2014 11:26
por netelton
Marcelo,
Tem um passo a passo pra fazer?
Pois não tenho muita pratica com Linux
marceloleaes escreveu:
Segue pacote de correção para o Bug encontrado no pacote bash nas últimas semanas. Validei somente com a versão 2.4.1 , peço aos colegas que validem nas demais versões e postem se tudo correu bem e se o bug foi resolvido.
Para testar a vulnerabilidade utilize o comando:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Após aplicar o patch de correção o comando começa a responder como inválido.
Recomendação é aplicar este patch o mais rápido possível pois a interface Web do Endian utiliza muito o recurso e pode ser afetada.
Para aplicar:
Bom proveito