<div dir="ltr"><div>Jesus, people are comparing Win7 security with Linux?</div><div><br></div><div>Tell those guys not to worry, in case of doubt, hire a serious security consulting agency...</div></div><div class="gmail_extra"><br><div class="gmail_quote">2014-10-08 16:57 GMT-03:00 Lars Noodén <span dir="ltr"><<a href="mailto:lars.nooden@gmail.com" target="_blank">lars.nooden@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">> The Shellshock vulnerability.<br>
<br>
Desktops were largely unaffected.  The machines that were vulnerable<br>
were primarily servers that met three conditions:<br>
<br>
a. running publicly available scripts<br>
<br>
b. those scripts were shell scripts, which is in itself rare as perl,<br>
python, php are common.<br>
<br>
c. those shell scripts were running bash instead of sh, ash or dash<br>
(ubuntu's default for scripts), which is rare for even for public shell<br>
scripts.<br>
<br>
However, given the large number of servers potentially affected, there<br>
were some that turned out to be vulnerable.  I'm not sure if the dhcp<br>
client specific to (L)Ubuntu was potentially affected or not.  But for<br>
the most part, despite having bash, desktops are not vulnerable because<br>
they are not set up to offer bash (or any other) scripts to outsiders.<br>
<br>
About the patching.  Ubuntu patched quickly and a normal update fixes<br>
the problem(s).<br>
<br>
 <a href="http://www.ubuntu.com/usn/usn-2364-1/" target="_blank">http://www.ubuntu.com/usn/usn-2364-1/</a><br>
 <a href="http://www.ubuntu.com/usn/usn-2363-2/" target="_blank">http://www.ubuntu.com/usn/usn-2363-2/</a><br>
 <a href="http://www.ubuntu.com/usn/usn-2363-1/" target="_blank">http://www.ubuntu.com/usn/usn-2363-1/</a><br>
 <a href="http://www.ubuntu.com/usn/usn-2362-1/" target="_blank">http://www.ubuntu.com/usn/usn-2362-1/</a><br>
<br>
There's not a proper date-time stamp on Ubuntu's announcements above,<br>
but the first one at least was right quick more or less concurrent with<br>
the public announcement.  Yes, CVE-2014-6271 and co were a big deal due<br>
to a really unfortunate misfeature but part of the visibility is due to<br>
media's enthusiasm for man-bites-dog stories combined with other<br>
interested marketing the heck out of said bugs.<br>
<br>
Lastly, extreme bugs like this and the previous server bug have been<br>
rare which is part of the reason antagonists go out and market the bugs<br>
under a brand name.  The other one even had a company go out and<br>
register a web site and hire a web developer to prepare promotional<br>
materials prior to announcing the bug.<br>
<br>
So given the visibility I understand the concern.<br>
<br>
Regards,<br>
/Lars<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Lubuntu-users mailing list<br>
<a href="mailto:Lubuntu-users@lists.ubuntu.com">Lubuntu-users@lists.ubuntu.com</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/lubuntu-users" target="_blank">https://lists.ubuntu.com/mailman/listinfo/lubuntu-users</a><br>
</div></div></blockquote></div><br></div>