PplWare Mobile

Vulnerabilidade na shell Bash põe em risco máquinas Linux


Pedro Pinto é Administrador do site. É licenciado em Engenharia Informática pelo Instituto Politécnico da Guarda (IPG) e obteve o grau de Mestre em Computação Móvel pela mesma Instituição. É administrador de sistemas no Centro de Informática do IPG, docente na área da tecnologia e responsável pela Academia Cisco do IPG.

Destaques PPLWARE

  1. maneu says:

    Corrigido! thanks.

  2. V@mpyro says:

    for ever and ever

  3. billgates says:

    Hoje nos repositorios do ubuntu lá estava o update ao bash… linux no seu melhor

  4. JMCS says:

    Onde é que isto é um problema? É tão raro que alguém faça um CGI em “bash”. Há uns anos fiz um em “tcsh” e não tinha hipóteses de sofrer desta vulnerabilidade…

  5. jedi says:

    Voçês aqui so mencionam os sistemas linux. Ou outros baseados em Unix como OS X? que neste momento tem a versão version 3.2.51(1)-release (x86_64-apple-darwin13).

  6. Carlos says:

    Não é o Linux, é todos os SOs que tenham o baah instalado.

    O OS X é um dos que está na lista, e a Apple até já lançou uma atualização para corrigir isso.

    • Nuno Vieira says:

      Posso estar enganado, mas acho que ainda não lançou. Pelo menos não colocou a informação no página dos updates. Agora não estou próximo do meu mac para confirmar.

  7. JJ says:

    Afinal o “linux” também tem vulnerabilidades…

    • Rafael says:

      TODOS os sistemas têm vulnerabilidades.

    • Luís Nabais says:

      Todos os sistemas operativos têm. É ingénuo quem pensa o contrário.
      No entanto, há mais factores a ter em conta, como impacto, tempo de resolução, entre outras. A grande maioria das distribuições já corrigiu isso nos seus updates diários.

      • JJ says:

        A quem diga que o Linux não tem…

        Quanto ao tempo de resolução, normalmente quando são descobertos este tipo de “erros”, são corrigidos de forma rápida pelas empresas responsáveis.

        Em relação ao impacto, logicamente um sistema operativo mais utilizado terá mais impacto. Logicamente que as distribuições mais utilizadas tiveram um maior impacto do que as outras. Isto é um ponto um pouco subjectivo.

  8. ricardo says:

    Para os Apple Fanboys/Trolls dos comentários acima eu vou só deixar isto aqui

    http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html

  9. João Silva says:

    Boas tenho dois nas da NETGEAR aqui um Sparc(GNU bash, version 2.05b.0(1)-release (sparc-unknown-linux-gnu)
    Copyright (C) 2002 Free Software Foundation, Inc.)
    e um ARM (GNU bash, version 4.1.5(1)-release (arm-unknown-linux-gnueabi)
    Copyright (C) 2009 Free Software Foundation, Inc.)
    Como sao distros “especiais” gostaria de saber como se faz esse update
    Obrigado

  10. José Fonseca Galhão says:

    “(…) é importante que aplique de imediato o patach.”

    Alguém me explica o que é um “patach”??? Era bom que quem escreve soubesse o que diz… Já agora, adoro o screenshot da shell que nada tem a ver com o dito bug.

  11. Aybara says:

    Bash nao é exclusivo de Linux. O teu tão amado OSX também é afectado.

    Pela boca morre o peixe. No teu caso espero que tenha sido um anzol bem grande e espinhoso.

  12. Aybara says:

    PPlware:

    O comando de teste correcto será:

    env x='() { :;}; echo shellshock’ /bin/sh -c “echo completed”

    ou

    env x='() { :;}; echo shellshock’ bash -c “echo completed”

    se o bash estiver instalado noutro lado qualquer…

  13. Porfírio says:

    Também tinha estranhado um update ao bash hoje no meu Arch.

    O que importa não é os erros que o Linux tem, mas o tempo que demora a resolve-los….

  14. Osvander says:

    E os pacotes RPM como o sistema operacional PCLINUXOS, já estão disponível?

  15. sakeN says:

    [root@host cgi-bin]# rm -fr /tmp/aa
    [root@host cgi-bin]# cat /var/www/cgi-bin/hi
    #!/bin/bash
    echo “Content-type: text/html”
    echo “”
    echo “hai”
    [root@host cgi-bin]# curl -k -H ‘User-Agent: () { :;}; echo aa>/tmp/aa’ https://localhost/cgi-bin/hi
    hai
    [root@host cgi-bin]# tail -n1 /var/log/httpd/ssl_access_log
    ::1 – – [24/Sep/2014:18:22:05 +0200] “GET /cgi-bin/hi HTTP/1.1” 200 4 “-” “() { :;}; echo aa>/tmp/aa”
    [root@host cgi-bin]# ls -l /tmp/aa
    -rw-r–r–. 1 apache apache 3 24 sept. 18:22 /tmp/aa
    [root@host cgi-bin]# sestatus
    SELinux status: enabled
    [root@host cgi-bin]# yum update bash

  16. xoxota says:

    Há quem continue a não distinguir a Shell do Sistema Operativo.

  17. Cris says:

    Afecta todos os OS *nix com bash, idiota, inclusive BSD (que não tem bash incluído por default), GNU/Linux e OSX.

  18. Marco Silva says:

    Boas

    Alguém sabe se os modem/router da NOS/Zon são afectados por este problema?

    Especificamente o Zon Hub (aquele que parece um cilindro espalmado) e o Zon Hub 2.0 (aquele que faz lembrar uma moldura digital)?

    Obrigado pela resposta.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.