據國外媒體報道,網絡安全專家週三警告稱,開源軟件Linux中一個頻繁使用的片段“Bash”,最近發現存在安全漏洞,其對計算機用戶造成的威脅可能要超過今年4月爆出的“心臟出血”(Heartbleed)漏洞。
Bash是用於控制Linux計算機命令提示符的軟件。網絡安全專家表示,***可以利用Bash中的一個安全漏洞,對目標計算機系統進行完全控制。
網絡安全公司Trail of Bits的首席執行官丹·吉多(Dan Guido)指出:“與Heartbleed”相比,後者只允許***窺探計算機,但不會讓***獲得計算機的控制權。”
他說:“利用Bash漏洞的方法也簡單得多,你可以直接剪切和粘貼一行軟件代碼,就能取得很好的效果。”
吉多還表示,他正考慮將自己公司非必要的服務器斷網,以保護他們不會受到Bash漏洞的***,直到他能夠修補這一漏洞爲止。
網絡安全公司Rapid7的工程經理託德·比爾茲利(Tod Beardsley)則警告稱,Bash漏洞的嚴重程度被評爲10級,意味着它具有最大的影響力,而其利用的難度被評爲“低”級,意味着***比較容易地利用其發動網絡***。
比爾茲利稱:“利用這個漏洞,***者可能會接管計算機的整個操作系統,得以訪問機密信息,並對系統進行更改等等。任何人的計算機系統,如果使用了Bash軟件,都需要立即打上補丁。”
“Heartbleed”是開源加密軟件OpenSSL中的一個安全漏洞,於今年4月被發現。由於全球三分之二的網站使用了OpenSSL,“Heartbleed”漏洞讓數千萬人的數據處於危險狀態。這也迫使數十家科技公司發佈安全補丁,以堵塞數百種使用了OpenSSL的產品中存在的安全漏洞。
對於使用RedHat和CentOS系統的用戶來說,修復這個漏洞很簡單:
速度升級bash版本到最新的bash.x86_64 0:4.1.2-15.el6_5.2!
# yum clean all # yum makecache # yum update bash-4.1.2-15.el6_5.2 ###官方9月26號已經發布最新的5.2,24號發佈的5.1已經確認仍然有安全漏洞!
大家也可以在自己的機器上執行這個命令測試下是否存在bash漏洞。(針對沒升級到5.1版本前)
env t='() { :;}; echo You are vulnerable.' bash -c "true"
下面對比下升級過bash版本的機器和沒升級過bash版本的機器執行測試命令後的結果!
沒有升級bash版本的機器:
[root@www ~]# env t='() { :;}; echo You are vulnerable.' bash -c "true" You are vulnerable.
升級bash到bash.x86_64 0:4.1.2-15.el6_5.1後測試:
[root@www ~]# env t='() { :;}; echo You are vulnerable.' bash -c "true" bash: warning: t: ignoring function definition attempt bash: error importing function definition for `t' [root@www ~]# /sbin/ldconfig [root@www ~]# rpm -qa bash bash-4.1.2-15.el6_5.1.x86_64
大家可以參考下紅帽官方給出的鏈接:
https://access.redhat.com/solutions/1207723
http://lists.centos.org/pipermail/centos/2014-September/146099.html
PS:雖然各個廠家都對系統的bash版本進行了一定的版本升級,但是谷歌安全研究員塔維斯·奧曼迪(Tavis Ormandy)在Twitter上表示,Linux系統提供商推出的補丁似乎“並不完整”,這引發了幾位安全專家的擔憂。
專家的擔心果然不是空穴來風,在2014年9月24日發佈bash.x86_64 0:4.1.2-15.el6_5.1後,2014年9月26日已經發布了最新版bash.x86_64 0:4.1.2-15.el6_5.2,本文原本是針對5.1寫的,請大家速度升級到5.2!
https://access.redhat.com/security/cve/CVE-2014-6271
https://access.redhat.com/articles/1200223
# yum update bash-4.1.2-15.el6_5.2
Ubuntu 用戶可以通過如下命令打補丁:
# apt-get update
# apt-get install bash
2014年9月24號最新5.1版本測試:
[root@xlogin ~]# env -i X='() { (a)=>\' bash -c 'echo date'; cat echo bash: X: line 1: syntax error near unexpected token `=' bash: X: line 1: `' bash: error importing function definition for `X' Fri Sep 26 12:12:11 CST 2014
2014年9月26號最新5.2版本:
[root@xlogin ~]# env -i X='() { (a)=>\' bash -c 'echo date'; cat echo date ###升級爲5.2版本後,顯示date即爲正常!!! Fri Sep 26 12:12:11 CST 2014