Bash 惊现年度最大安全漏洞!

Russell Brandom 的头像

·

·

·

18,645 次阅读

Linux 用户今天又得到了一个“惊喜”! Red Hat 安全团队在 Linux 中广泛使用的 Bash shell 中发现了一个隐晦而危险的安全漏洞。该漏洞被称作“Bash Bug”或“Shellshock”。

当用户正常访问,该漏洞允许攻击者的代码像在 shell 中一样执行,这就为各种各样的攻击打开了方便之门。而且,更糟糕的是该漏洞已经在 Linux 中存在很久了,所以修补某个 Linux 机器很容易,但是要全部修补,几乎不可能完成。

Red Hat 和 Fedora 已经发布了针对该漏洞的修补程序。该漏洞也会影响 OS X,不过苹果公司尚未发布正式的修补程序。

这个 Bash 漏洞可能比 Heartbleed 更危险。
— — Robert Graham (@ErrataRob) 2014 年 9 月 24 日

Red Hat 的 Errata Security 团队的 Robert David Graham 比较了这个安全漏洞和 Heartbleed 的风险,该漏洞分布更广泛,有可能对系统安全带来长期影响。Graham 在一篇博客文章中写道,“有大量的软件以某种方式与 shell 交互,我们没有办法列举受到该漏洞影响的所有软件。”据 Verge 得到的消息,Berkeley ICSI 的研究员Nicholas Weaver 也悲观的同意这个说法:“它很隐晦、很可怕,并且将会伴随我们多年。”

网络安全公司Rapid7工程部经理 Tod Beardsley 警告称,Bash漏洞的严重级别为“10”,意味着它对用户电脑的威胁最大。Bash漏洞的利用复杂度级别为“低”,意味着黑客可以相对轻松地利用它发动攻击。

另有网络安全公司Trail of Bits的CEO Dan Guido表示,“Heartbleed”漏洞能够允许黑客监控用户电脑,但不会取得控制权。而利用Bash漏洞的方法也更简单——只需要剪切和粘贴一行代码即可。

据称,谷歌安全研究员 Tavis Ormandy 在Twitter上表示,Linux系统提供商推出的补丁似乎“并不完整”,这引发了几位安全专家的担忧。

已知受到影响的 Linux 发行版和软件包括:

  • Ubuntu Ubuntu Linux 12.04 LTS i386/amd64
  • Ubuntu Ubuntu Linux 10.04 sparc/powerpc/i386/ARM/amd64
  • GNU GNU bash 3.1.4/3.0.16/4.2/4.1/4.0 RC1/4.0/3.2.48/3.2/3.00.0(2)/3.0
  • Debian Linux 6.0 sparc/s390/powerpc/mips/ia-64/ia-32/arm/amd64
  • CentOS CentOS 5

更多技术细节,可以参考:

27 条回复

  1. 微博评论 的头像
    微博评论

    @Linux杜朋 值得关注

  2. 微博评论 的头像
    微博评论

    shell

  3. 微博评论 的头像
    微博评论

    赶快升级

  4. 微博评论 的头像
    微博评论

    已补

  5. 微博评论 的头像
    微博评论

    雅蠛蝶!没bash 我怎么玩?zsh?人家不要啦

  6. 微博评论 的头像
    微博评论

    我能不能问下配图是怎么回事?

  7. 微博评论 的头像
    微博评论

    Shellshock , Sherlock …

  8. 微博评论 的头像
    微博评论

    回复@法系菜刀_快乐采药农:不知道,应该和本漏洞代码无关,我想原来配图是表示漏洞是代码上的问题。具体漏洞细节还是得去看 CVE

    来自北京
  9. 微博评论 的头像
    微博评论

    。。。 ZSH 也受影响了。。。//@爱开源魅影: 转发微博

  10. felixonmars 的头像
    felixonmars

    不幸的是, 这个漏洞补丁并不完全. 关于这个不完全的补丁中依然存在的问题已经发布了漏洞编号 CVE-2014-7169, 目前为止各大发行版均未修复.
    详情: https://access.redhat.com/security/cve/CVE-2014-7169

    来自武汉
  11. felixonmars 的头像
    felixonmars

    关于 CVE-2014-6271 和 CVE-2014-7169, 已测试 ZSH 并不受影响.

    来自武汉
  12. 微博评论 的头像
    微博评论

    妈蛋啊 要通宵的节奏啊

    来自上海
  13. 夜域诡士 的头像
    夜域诡士

    漏洞已报,看来以后要多多注意才是

    来自北京
  14. linux 的头像
    linux

    好!谢谢测试反馈!

    来自北京
  15. linux 的头像
    linux

    哎,今年以来,Linux/开源方面屡屡爆出惊天漏洞,从长远角度看是好的,说明使用的人多了,也有更多人重视了;但是从短期看,会打击一些人的信心。

    来自北京
  16. 微博评论 的头像
    微博评论

  17. 微博评论 的头像
    微博评论

    升级4.3没有用了

  18. 微博评论 的头像
    微博评论

    回复@beebol:现有的补丁只能让触发漏洞更难

  19. 微博评论 的头像
    微博评论

    我的也是Bash[吃惊]

    来自北京
  20. 微博评论 的头像
    微博评论

    年末旺季,年度大招已经上线[挖鼻屎]

    来自北京
  21. 文剑一飞 的头像
    文剑一飞

    打补丁能解决的问题都不是问题

    来自广州
  22. love_daisy_love 的头像
    love_daisy_love

    随意的吧,应该

    来自广州
  23. linux 的头像
    linux

    可是不是每个机器都能打补丁,也不是每个人都会打补丁。

    来自北京
  24. 绿色圣光 的头像
    绿色圣光

    哦。知道了。坐等更新。

    来自青岛
  25. linux 的头像
    linux

    又有新的更新了,上次没更新的一起更新吧;上次更新了,那就再来一遍吧。哈哈。
    对了话说,你对 IBM 的 PowerLinux 感兴趣不,我最近准备给联系一次 PowerLinux 的测试体验活动,有兴趣的话,可以报个名。

    来自北京
  26. 文剑一飞 的头像
    文剑一飞

    能打补丁解决的问题都不是问题

    来自广州

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注