首页 > 代码库 > Linux再曝安全漏洞Bash危害将超心血

Linux再曝安全漏洞Bash危害将超心血

       

      bash

          9月25日消息:一个被指比“心脏出血”还要严重的Linux安全漏洞被发现,尽管还没有发现利用该漏洞进行的攻击,但是比“心脏出血”更低的操作门槛让它比前者更加危险。

  Bash是用于控制Linux计算机命令提示符的软件。网络安全公司Trail of Bits的首席执行官丹·吉多表示:“与心脏出血”只允许黑客窥探计算机,但不会让黑客获得计算机的控制权。Bash漏洞则不一样,黑客可以利用它对目标计算机系统进行完全控制。

  更糟的是,利用Bash漏洞的方法更加简单,只要直接剪切和粘贴一行软件代码,就能取得效果。如此低的门槛可能会吸引来更多的黑客进行攻击,这也是安全专家担心的地方。

  网络安全公司Rapid7的工程经理托德·比尔兹利表示Bash漏洞的严重程度被评为10级,而且利用难度被评为“低”级,这就是说会有更多的黑客利用它造成更严重的安全危机。

  比尔兹利称:“利用这个漏洞,攻击者可能会接管计算机的整个操作系统,得以访问机密信息,并对系统进行更改等等。任何人的计算机系统,如果使用了Bash软件,都需要立即打上补丁。”

  专家建议,有条件的企业用户可以进行非必要的服务器断网,以保护服务器不会受到Bash漏洞的攻击,直到这一漏洞得到修复为止。

 

由于个人公司服务器是ubuntu 对此类问题比较关注,以下是红帽和ubuntu 用户给出的解决办法,供参考。

如有问题可以加我微信:weilai_lee 交流。 

[严重]Bash漏洞(CVE-2014-6271)预警

GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution.

Authentication: Not required to exploit

Impact Type: Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-6271

http://seclists.org/oss-sec/2014/q3/650

https://blogs.akamai.com/2014/09/environment-bashing.html

 

红帽系给出的解决方案:

可通过更新 bash 并重启系统来解决这个问题:

?
1
# yum update bash

或者:

?
1
# yum update bash-4.1.2-15.el6_5.1

此举只是更新了 bash 包,还需要重启系统才能生效。

Ubuntu 用户

可以通过如下命令打补丁,无需重启:

?
1
2
apt-get update
apt-get install bash

 

 

以上来自:天梯网

 

Linux再曝安全漏洞Bash危害将超心血