Con el script a continuacion, y que fue sugerido en uno de los sitios, yo
resolvi la vulnerabilidad descrita en la linea:
# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
no he comprobado los otros casos de vulnerabilidad que expuso Michael.
En cualquier caso la nueva salida del comando bash --version es:
version 4.3.27(1)-release (x86_64-unknown-linux-gnu)
el script es el siguiente:
cd ~/
mkdir bash
cd bash
wget https://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz
download all patches
for i in $(seq -f "%03g" 1 27); do wget
https://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-$i; done
tar zxvf bash-4.3.tar.gz
cd bash-4.3
for i in $(seq -f "%03g" 1 27);do patch -p0 < ../bash43-$i; done
./configure && make && make install
________________________________________
From: gutl-l-boun...@jovenclub.cu [gutl-l-boun...@jovenclub.cu] on behalf of
låzaro [laz...@hcg.sld.cu]
Sent: Wednesday, October 01, 2014 12:27 PM
To: Lista cubana de soporte técnico en Tecnologias Libres
Subject: Re: [Gutl-l] Sigue la falla. Algo curioso!!!???
POSTEALO!
Thread name: "Re: [Gutl-l] Sigue la falla. Algo curioso!!!???"
Mail number: 3
Date: Wed, Oct 01, 2014
In reply to: Manuel de Jesús
>
> Precisamente por eso I See `config.log' for more details, pero no logro ver o
> entender el paricular
>
> On Wednesday, 1 de October de 2014 12:11:45 låzaro escribió:
> > y esto que te sugiere??
> >
> > See `config.log' for more details
> >
> >
> > Thread name: "Re: [Gutl-l] Sigue la falla. Algo curioso!!!???"
> > Mail number: 1
> > Date: Wed, Oct 01, 2014
> > In reply to: Manuel de Jesús
> >
> > > On Wednesday, 1 de October de 2014 08:56:08 Ernesto Acosta escribió:
> > > > On 01/10/14 08:48, Tec. Arián López Delgado wrote:
> > > > > Oye a mi me paso igual, cuando actualize del repo de debian 7 me
> > > > > instalo el 4.2.x y me daba el bateo, al final termine haciendo lo ke
> > > > > dicen aki https://shellshocker.net/ en la parte donde te dicen ke lo
> > > > > instales desde la fuente, o sea bajate el bash 4.3 + los patches y
> > > > > compilalo, asi me funciono y no tengo el cartel de vulnerable.
> > > >
> > > > Es que hasta donde sé, el paquete que corrige la vulnerabilidad es
> > > > precisamente el 4.3, no el 4.2
> > > >
> > > >
> > > >
> > > > ______________________________________________________________________
> > > > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> > > > Gutl-l@jovenclub.cu
> > > > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
> > > >
> > > > ________________________________________________________________
> > > > XII Edicion del Evento Nacional de Informatica para Jovenes. INFOCLUB.
> > > > Abril. 2015. Ver www.jovenclub.cu
> > > > ________________________________________________________________
> > >
> > > Yo descargué la versión 4.3 + los parches pero a la hora compilar el bash
> > > me devuelve el siguiente error
> > >
> > > checking build system type... i686-pc-linux-gnu
> > > checking host system type... i686-pc-linux-gnu
> > >
> > > Beginning configuration for bash-4.3-release for i686-pc-linux-gnu
> > >
> > > checking for gcc... gcc
> > > checking whether the C compiler works... no
> > > configure: error: in `/root/bash/bash-4.3':
> > > configure: error: C compiler cannot create executables
> > > See `config.log' for more details
> > >
> > > Analizo el archivo config.log pero no logro comprender a ciencias ciertas
> > > en qué radica el problema de la no compilación. Les pego un fragmento de
> > > config.log en que creo está el problema.
> > >
> > > ## ----------- ##
> > > ## Core tests. ##
> > > ## ----------- ##
> > >
> > > configure:2767: checking build system type
> > > configure:2781: result: i686-pc-linux-gnu
> > > configure:2801: checking host system type
> > > configure:2814: result: i686-pc-linux-gnu
> > > configure:3443: checking for gcc
> > > configure:3459: found /usr/bin/gcc
> > > configure:3470: result: gcc
> > > configure:3699: checking for C compiler version
> > > configure:3708: gcc --version >&5
> > > gcc (Debian 4.7.2-5) 4.7.2
> > > Copyright (C) 2012 Free Software Foundation, Inc.
> > > This is free software; see the source for copying conditions. There is
> > > NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR
> > > PURPOSE.
> > >
> > > configure:3719: $? = 0
> > > configure:3708: gcc -v >&5
> > > Using built-in specs.
> > > COLLECT_GCC=gcc
> > >
> > > configure:3719: $? = 0
> > > configure:3708: gcc -v >&5
> > > Using built-in specs.
> > > COLLECT_GCC=gcc
> > > COLLECT_LTO_WRAPPER=/usr/lib/gcc/i486-linux-gnu/4.7/lto-wrapper
> > > Target: i486-linux-gnu
> > > Configured with: ../src/configure -v --with-pkgversion='Debian 4.7.2-5'
> > > --with- bugurl=file:///usr/share/doc/gcc-4.7/README.Bugs
> > > --enable-languages=c$ Thread model: posix
> > > gcc version 4.7.2 (Debian 4.7.2-5)
> > > configure:3719: $? = 0
> > > configure:3708: gcc -V >&5
> > > gcc: error: unrecognized command line option '-V'
> > > gcc: fatal error: no input files
> > > compilation terminated.
> > > configure:3719: $? = 4
> > > configure:3708: gcc -qversion >&5
> > > gcc: error: unrecognized command line option '-qversion'
> > > gcc: fatal error: no input files
> > > compilation terminated.
> > >
> > > configure:3719: $? = 4
> > > configure:3708: gcc -qversion >&5
> > > gcc: error: unrecognized command line option '-qversion'
> > > gcc: fatal error: no input files
> > > compilation terminated.
> > > configure:3719: $? = 4
> > > configure:3739: checking whether the C compiler works
> > > configure:3761: gcc conftest.c >&5
> > > /usr/bin/ld: cannot find crt1.o: No such file or directory
> > > /usr/bin/ld: cannot find crti.o: No such file or directory
> > > /usr/bin/ld: cannot find -lc
> > > /usr/bin/ld: cannot find crtn.o: No such file or directory
> > > collect2: error: ld returned 1 exit status
> > > configure:3765: $? = 1
> > > configure:3803: result: no
> > >
> > > configure: failed program was:
> > > | /* confdefs.h */
> > > | #define PACKAGE_NAME "bash"
> > > | #define PACKAGE_TARNAME "bash"
> > > | #define PACKAGE_VERSION "4.3-release"
> > > | #define PACKAGE_STRING "bash 4.3-release"
> > > | #define PACKAGE_BUGREPORT "bug-b...@gnu.org"
> > > | #define PACKAGE_URL ""
> > > | #define USING_BASH_MALLOC 1
> > > | #define ALIAS 1
> > > | #define PUSHD_AND_POPD 1
> > > | #define RESTRICTED_SHELL 1
> > > | #define PROCESS_SUBSTITUTION 1
> > > | #define PROMPT_STRING_DECODE 1
> > > | #define SELECT_COMMAND 1
> > > | #define HELP_BUILTIN 1
> > > | #define ARRAY_VARS 1
> > > | #define DPAREN_ARITHMETIC 1
> > > | #define BRACE_EXPANSION 1
> > > | #define COMMAND_TIMING 1
> > > | #define EXTENDED_GLOB 1
> > > | #define EXTGLOB_DEFAULT 0
> > > | #define COND_COMMAND 1
> > > | #define COND_REGEXP 1
> > > | #define COPROCESS_SUPPORT 1
> > > | #define ARITH_FOR_COMMAND 1
> > > | #define NETWORK_REDIRECTIONS 1
> > > | #define PROGRAMMABLE_COMPLETION 1
> > > | #define DEBUGGER 1
> > > | #define CASEMOD_ATTRS 1
> > > | #define CASEMOD_EXPANSIONS 1
> > > | #define GLOBASCII_DEFAULT 0
> > > | #define MEMSCRAMBLE 1
> > > | /| /* end confdefs.h. */
> > > |
> > > | int
> > > | main ()
> > > | {
> > > |
> > > | ;
> > > | return 0;
> > > |
> > > | }
> > >
> > > configure:3808: error: in `/root/bash/bash-4.3':
> > > configure:3810: error: C compiler cannot create executables
> > > See `config.log' for more details
> > > * end confdefs.h. */
> > >
> > > Alguna idea
> > >
> > >
> > > Ing. Manuel de Jesús Núñez Guerra
> > > Administrador de Red
> > > Zeti - UEB Fábrica Manuel Fajardo
>
> --
> Lic. Manuel de Jesús Núñez Guerra
> Administrador de Red
> Zeti - UEB Fábrica Manuel Fajardo
>
> --
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que está limpio.
>
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL:
> <http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20141001/feec371d/attachment.html>
> ______________________________________________________________________
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
--
-------- Warning! ------------
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
