• Advertisement
backula, zabbix

is Endian’ s systems protected from Shellshock?

Установка Endian UTM, вопросы по GUI

Модератор: Модераторы форума

is Endian’ s systems protected from Shellshock?

Сообщение eugenez » 27 сен 2014, 05:13

Код: выделить все
# env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"
vulnerable
this is a test

# efw-upgrade
+++ Try to upgrade efw-upgrade itself
Loading cache...
Updating cache...                                        ############################################################################## [100%]

Fetching information for 'efw-community'...                                                                                                   
-> http://eugenez@xxx.com:*@updates.endian.org/stable/repodata/repomd.xml                                                             
repomd.xml                                               ############################################################################## [ 50%]

Updating cache...                                        ############################################################################## [100%]

Channels have no new packages.
Loading cache...
Updating cache...                                        ############################################################################## [100%]

Computing transaction...
No interesting upgrades available.


По итогам да, протектед. Не для всех.

Please note that the security fixes are available for Endian customers with active maintenance only. For more information on Endian maintenance and SLA, please consult: http://www.endian.com/en/support/maintenance/

Мне любопытно - а чего редхаты и дебьяны таким путём не пошли?
wbr, eugenez
eugenez
 
Сообщений: 34
Зарегистрирован: 09 ноя 2011, 09:05
Откуда: Барнаул

Re: is Endian’ s systems protected from Shellshock?

Сообщение eugenez » 27 сен 2014, 05:17

Не у одного меня вопрос возник. Иностранцы интересуются тоже
wbr, eugenez
eugenez
 
Сообщений: 34
Зарегистрирован: 09 ноя 2011, 09:05
Откуда: Барнаул

Re: is Endian’ s systems protected from Shellshock?

Сообщение eugenez » 01 окт 2014, 06:09

Видимо, гиперактуальная тема, судя по бурному обсуждению и валу ответов :(

В общем, решение нашлось.

Код: выделить все
# smart install http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.2.el4.i386.rpm

(или)

# curl -O http://public-yum.oracle.com/repo/EnterpriseLinux/EL4/latest/i386/getPackage/bash-3.0-27.0.3.el4.i386.rpm

# rpm -Uhv bash-3.0-27.0.2.el4.i386.rpm


далее по ветке народ подтверждает работоспособность нового баша на 2.5.* и 3.*

проверить, всё ли в порядке, можно вот этим скриптом https://github.com/hannob/bashcheck/blo ... /bashcheck

должно получиться типа как у товарища

Код: выделить все
root@efw-1412010858:~ # bash --version
GNU bash, version 3.00.15(1)-release (i686-redhat-linux-gnu)
Copyright (C) 2004 Free Software Foundation, Inc.
root@efw-1412010858:~ # rpm -qa | grep bash
bash-3.0-27.0.3.el4
root@efw-1412010858:~ # ./bashcheck.sh
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Variable function parser inactive, likely safe from unknown parser bugs
wbr, eugenez
eugenez
 
Сообщений: 34
Зарегистрирован: 09 ноя 2011, 09:05
Откуда: Барнаул


Вернуться в Установка Endian

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron
Каталог@Mail.ru - каталог ресурсов интернет