继上次 OpenSSL 全球爆出 Heartbleed 漏洞,现在 Bash 也出现了威胁不小的漏洞,称之为Shell Shock 。在几个小时前刚由美国政府的国家弱点数据库(NVD)发表了最新的弱点通报。范围涵盖绝大部分的 Unix-Like 操作系统,如Linux、BSD、MAC OS X 等等。
先前的 Heartbleed 漏洞只影响 OpenSSL ,这是传输资料加密相关的程式有漏洞,而骇客可以借此攻破系统,涵盖的操作系统范围从 Unix-Like 到 Windows 都有。而这次的 Shell Shock 漏洞是Unix-Like 操作系统平台用户、系统管理员常使用的 Bash ,在许多版本中都有这个远端执行程式码的安全性漏洞。
如果你的网页服务器程式中有呼叫 Bash Shell 的话,骇客能够利用漏洞去改变其环境变数,远端执行恶意的程式码,取得系统资料。尽管这个漏洞的应用范围有限,但仍是个值得关注的手法,因此各资安专家们都呼吁管理员们进行更新。
下面是这个漏洞相关的示范影片:
如果你是 Linux 系统的管理者,可以测试看看用这个指令来看系统有没有漏洞。 在 shell 中输入
export VULNCHECK='() { :; }; echo this is a test‘; bash
如果是“this is a test”就是系统还有漏洞,需尽快更新。 如果是“bash: warning: VULNCHECK: ignoring function definition attempt”,就没有关系了。
这个漏洞是法国的 Stéphane Chazelas 发现,而负责维护 Bash Shell 套件的 Chet Ramey 已经推出了更新程式,把 Bash 3.0 到 Bash 4.3 的版本都做了修补。
目前各平台的发行版已经推出了各对应版本的修补套件程式,使用相关平台的人,可以赶快更新,这次的资安威胁威力不亚于上次的 Heartbleed 漏洞。
- Vulnerability Summary for CVE-2014-6271
- UBUNTU: USN-2362-1: Bash vulnerability
首图来源:uscollegesearch
