<div dir="ltr">I got:<div><br></div><div><div><div>:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"</div><div>bash: warning: x: ignoring function definition attempt</div><div>bash: error importing function definition for `x'</div><div>this is a test</div><div><br></div><div>:~$ uname -a</div><div>Linux Quorra 3.13.0-36-generic #63-Ubuntu SMP Wed Sep 3 21:30:07 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux</div></div></div><div><br></div><div>This is on an Ubuntu 14.10 laptop.</div><div>So I guess I'm ok!</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 25 September 2014 09:35, Khalid Baheyeldin <span dir="ltr"><<a href="mailto:kb@2bits.com" target="_blank">kb@2bits.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>The test for the vulnerability is typing this in a bash shell:<br><br>env x='() { :;}; echo vulnerable' bash -c "echo this is a test"<br><br></div><div>If you get just "this is a test" with some warnings, then you are not vulnerable.<br>If you get "vulnerable" as part of the output, then you are.<br><br>Like many who run a Debian based distro, I use apticron to get email notifications of updates to the exact packages that I have installed. I got notified yesterday noon-ish of the update and got it installed.<br><br>I did not need to reboot nor start the shells I have open in screen. The output of the test above says I am not vulnerable, but I did not do a before and after on the same machine (although a pristine virtual image does show it is vulnerable).<br><br></div><div>So, don't think a shell restart is necessary based on the tests above. How is this done? I don't know. There are no shared libraries included in the package (dpkg -L bash).<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 25, 2014 at 1:05 AM, B.S. <span dir="ltr"><<a href="mailto:bs27975@yahoo.ca" target="_blank">bs27975@yahoo.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>On Wed, 24 Sep 2014 23:21:57 -0400<br>
"L.D. Paniak" <<a href="mailto:ldpaniak@fourpisolutions.com" target="_blank">ldpaniak@fourpisolutions.com</a>> wrote:<br>
<br>
> The list should be aware of a newly-announced and particularly nasty<br>
> parsing bug with all versions of bash:<br>
><br>
> <a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271" target="_blank">http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271</a><br>
><br>
> The combination of "network exploitable" and "authentication not<br>
> required"  make this a "10" on the severity scale.<br>
><br>
> Updated packages for current versions of Ubuntu look to have been<br>
> pushed out earlier today:<br>
> <a href="https://launchpad.net/ubuntu/+source/bash" target="_blank">https://launchpad.net/ubuntu/+source/bash</a><br>
<br>
</div></div>Presumably, at the least, a post-update logout/login will be necessary<br>
on each machine, if not an entire reboot. (Care to trust that ALL<br>
scripts run between turn on and user prompt use sh not bash? And that<br>
sh hasn't been inadvertently equivalenced to bash?)<br>
<br>
Given that most of us probably have a command line up (outside of any<br>
GUI too!), and thus in memory. Updating will catch any new instances,<br>
but not those you're already in the middle of.<br>
<br>
I suppose this means rebooting all servers, too. <sigh?><br>
<br>
I wonder if we should expect to see some further script updates to<br>
follow. i.e. 'Inadvertent' taking advantage of 'hole' for non-nefarious<br>
purposes now needing tweaking due to the update. (e.g. Things becoming<br>
broken, albeit things originally written with the best of intentions.)<br>
<div><div><br>
<br>
_______________________________________________<br>
kwlug-disc mailing list<br>
<a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><span class="HOEnZb"><font color="#888888"><br>
</font></span></div></div></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><br>-- <br>Khalid M. Baheyeldin<br><a href="http://2bits.com" target="_blank">2bits.com</a>, Inc.<br>Fast Reliable Drupal<br>Drupal optimization, development, customization and consulting.<br>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>For every complex problem, there is an answer that is clear, simple, and wrong." -- H.L. Mencken<br>
</font></span></div>
<br>_______________________________________________<br>
kwlug-disc mailing list<br>
<a href="mailto:kwlug-disc@kwlug.org">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
<br></blockquote></div><br></div>