<div dir="ltr">If you want something to show to the guys on your next meeting, try this:<div><br><a href="http://falkvinge.net/2013/11/17/nsa-asked-linus-torvalds-to-install-backdoors-into-gnulinux/">http://falkvinge.net/2013/11/17/nsa-asked-linus-torvalds-to-install-backdoors-into-gnulinux/</a><br><br><a href="http://www.techrepublic.com/article/how-munich-rejected-steve-ballmer-and-kicked-microsoft-out-of-the-city/">http://www.techrepublic.com/article/how-munich-rejected-steve-ballmer-and-kicked-microsoft-out-of-the-city/</a><br><br><a href="http://www.comparebusinessproducts.com/fyi/50-places-linux-running-you-might-not-expect">http://www.comparebusinessproducts.com/fyi/50-places-linux-running-you-might-not-expect</a><br><br><a href="http://www.gfi.com/blog/the-most-vulnerable-operating-systems-and-applications-in-2011/">http://www.gfi.com/blog/the-most-vulnerable-operating-systems-and-applications-in-2011/</a><br><br><a href="http://www.gfi.com/blog/report-the-most-vulnerable-operating-systems-and-applications-in-2012/">http://www.gfi.com/blog/report-the-most-vulnerable-operating-systems-and-applications-in-2012/</a><br></div><div><br></div><div><a href="http://www.gfi.com/blog/report-most-vulnerable-operating-systems-and-applications-in-2013/">http://www.gfi.com/blog/report-most-vulnerable-operating-systems-and-applications-in-2013/</a><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2014-10-08 22:26 GMT-03:00 Israel <span dir="ltr"><<a href="mailto:israeldahl@gmail.com" target="_blank">israeldahl@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    <div>Hi Marc,<br>
      I'd like to reiterate what Lars said.<br>
      The bug was patched almost as soon as the news broke.  It was
      seemless.<br>
      However, Apple users had to wait a week or so for an update.  We
      got it MUCH faster, and they are 'known' for security.<br>
      <br>
      After the story broke I ran sudo apt-get update && sudo
      apt-get upgrade and sure enough... bash was there<br>
      Then I saw bash appear again a couple of times when new
      vulnerabilities were discovered.<br>
      <br>
      What this basically means is:<br>
      <br>
      LOTS of BIG companies are REALLY interested in keeping Linux
      secure.<br>
      <br>
      Examples of big companies that use Ubuntu, and rely on it:<br>
      <br>
      Google<br>
      Facebook<br>
      Wikipedia<br>
      IBM (released a new server with support ONLY for Ubuntu... not
      even RHEL or Oracle)<br>
      Steam<br>
      <br>
      Nearly all of the supercomputers in the world run Linux.<br>
      Nearly all of the smartphones run Linux.<br>
      <br>
      There are<b> lots </b>of people who look for problems in the
      underlying structure.  Lots of people investing lots of money into
      making sure everything gets fixed.<br>
      <br>
      But of course, this is mainly for the kernel and underlying
      mechanisms.  Not too many big companies invest in LXDE, or XFCE...
      though I suppose RHEL invests in Gnome, so we get some
      trickle-down from the improved programs there.<div><div class="h5"><br>
      <br>
      <br>
      On 10/08/2014 02:57 PM, Lars Noodén wrote:<br>
    </div></div></div><div><div class="h5">
    <blockquote type="cite">
      <blockquote type="cite">
        <pre>The Shellshock vulnerability.
</pre>
      </blockquote>
      <pre>Desktops were largely unaffected.  The machines that were vulnerable
were primarily servers that met three conditions:

a. running publicly available scripts

b. those scripts were shell scripts, which is in itself rare as perl,
python, php are common.

c. those shell scripts were running bash instead of sh, ash or dash
(ubuntu's default for scripts), which is rare for even for public shell
scripts.

However, given the large number of servers potentially affected, there
were some that turned out to be vulnerable.  I'm not sure if the dhcp
client specific to (L)Ubuntu was potentially affected or not.  But for
the most part, despite having bash, desktops are not vulnerable because
they are not set up to offer bash (or any other) scripts to outsiders.

About the patching.  Ubuntu patched quickly and a normal update fixes
the problem(s).

 <a href="http://www.ubuntu.com/usn/usn-2364-1/" target="_blank">http://www.ubuntu.com/usn/usn-2364-1/</a>
 <a href="http://www.ubuntu.com/usn/usn-2363-2/" target="_blank">http://www.ubuntu.com/usn/usn-2363-2/</a>
 <a href="http://www.ubuntu.com/usn/usn-2363-1/" target="_blank">http://www.ubuntu.com/usn/usn-2363-1/</a>
 <a href="http://www.ubuntu.com/usn/usn-2362-1/" target="_blank">http://www.ubuntu.com/usn/usn-2362-1/</a>

There's not a proper date-time stamp on Ubuntu's announcements above,
but the first one at least was right quick more or less concurrent with
the public announcement.  Yes, CVE-2014-6271 and co were a big deal due
to a really unfortunate misfeature but part of the visibility is due to
media's enthusiasm for man-bites-dog stories combined with other
interested marketing the heck out of said bugs.

Lastly, extreme bugs like this and the previous server bug have been
rare which is part of the reason antagonists go out and market the bugs
under a brand name.  The other one even had a company go out and
register a web site and hire a web developer to prepare promotional
materials prior to announcing the bug.

So given the visibility I understand the concern.

Regards,
/Lars

</pre>
    </blockquote>
    <br>
    <br>
    </div></div><span class="HOEnZb"><font color="#888888"><pre cols="72">-- 
Regards</pre>
  </font></span></div>

<br>--<br>
Lubuntu-users mailing list<br>
<a href="mailto:Lubuntu-users@lists.ubuntu.com">Lubuntu-users@lists.ubuntu.com</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/lubuntu-users" target="_blank">https://lists.ubuntu.com/mailman/listinfo/lubuntu-users</a><br>
<br></blockquote></div><br></div>