Linux服务器Bash曝严重漏洞,使用加速乐可防护

漏洞概述

今日Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击。

目前互联网上已经公布了一些通过更新官方补丁的方式修复该漏洞,但截止目前官方最新发布的漏洞被发现可以被安全研究者绕过,目前部分官方已经重新发布补丁,有些还没有,在此之前建议使用加速乐进行防护,同时建议密切关注操作系统关方更新。

利用场景

如下业务场景中都会受此缺陷影响:

1、OpenSSH sshd使用了ForceCommand特性

ForceCommand特性用来给远程用户提供受限的命令执行能力,因此使用了此特性的如git、subversion等都会受影响。

2、Apache HTTP Server使用了modcgi和mod_cgid模块;

在Apache Server启用了modcgi和mod_cgid模块时,只要CGI脚本是由bash编写,或者使用了派生的subshell都会受影响。能够产生这样的subshell的包括:

C语言的system/popen,Python的os.system/os.popen,PHP的system/exec,Perl的open/system。

验证方法

验证是否存在次漏洞的方法:

在linux中输入红色部分命令,如果可以输出当前时间,则代表存在此漏洞。

$ env -i X='() { (a)=>\’ bash -c ‘echo date’; cat echo
bash: X: line 1: syntax error near unexpected token `=’
bash: X: line 1: `’
bash: error importing function definition for `X’
Wed Sep 24 14:12:49 PDT 2014

互联网上公布的一些修复方法

目前互联网上已经公布了一些通过更新官方补丁的方式修复该漏洞,但截止目前官方最新发布的漏洞被发现可以被安全研究者绕过,目前部分官方已经重新发布补丁,有些还没有,在此之前建议使用加速乐进行防护,同时建议密切关注操作系统关方更新。

CentOS:

yum clean all

yum –enablerepo=updates install bash

Ubuntu:

apt-get update
apt-get install bash

 

9 thoughts on “Linux服务器Bash曝严重漏洞,使用加速乐可防护

    • Emang perlu masyarakat yang lebih dewasa untuk memilih produk bertialukas yang layak konsumsi. Kalo ga ada pasar, mana mungkin ada orang yang brani ngelakuin apapun demi mengais uang. Joe, liat lagi. Penontong ndang-dut nya banyakan laki pa perempuan?

  1. 漏洞貌似还没有被修复哦: 执行这条命令就创建了一个新的文件,这是被修复的节奏吗?

    env x='() { :;}; echo haha’ bash -c “touch haha.txt”

发表评论

电子邮件地址不会被公开。