威脅遠勝“心臟出血”?國外新爆Bash高危安全漏洞
責編:admin |2014-09-25 20:11:19這幾天Linux用戶們可能不能愉快地玩耍了,紅帽(Redhat)安全團隊昨天爆出一個危險的Bash Shell漏洞。其帶來的威脅可能比早前披露的“心臟出血”漏洞更大更強!
(未能阻止,似乎更大來襲= =)
Bash是Linux用戶廣泛使用的一款用于控制命令提示符工具,這個最新被披露的bash漏洞代號為Bash bug或Shellshock。當用戶正常訪問時,只要shell是喚醒狀態,這個漏洞就允許攻擊者執行任意代碼命令,簡直就是為各種各樣的黑客攻擊敞開了大門!更糟的是,這個漏洞在企業級軟件中存在好長時間了!(小編不經又想起“心臟出血”,何嘗不是存在已久?!簡直是廠商噩夢~)可是對每一個漏洞實例的修補是說起來容易做起來難!好在紅帽公司和Fedora已經發布了漏洞補丁,但是谷歌安全研究員Tavis Ormandy在Twitter上表示,Linux系統提供商推出的補丁似乎“并不完整”,這引發了安全專家們的有一陣擔憂~
最新消息,補丁白打,有人繞過:
我還會告訴你,這個漏洞還影響了蘋果MAC OS X嗎?但是截至目前,蘋果公司還沒有任何消息表明將發布漏洞修復。
某網絡安全公司工程部經理Tod Beardsley也警告稱,Bash漏洞的嚴重級別為“10”。它與“心臟出血”漏洞不同,“心臟出血”只能借助竊取用戶電腦信息,而bash 漏洞允許黑客遠程控制電腦,拿到系統最高權限!其方法利用就更簡單了——復制/粘貼一行命令代碼即可!
安全勘誤員 Robert David已經將Bash漏洞與"心臟出血“做對比,發現bash 漏洞對系統安全的影響將長期存在,并且廣泛影響。“軟件有一個巨大的比例是以某種形式相互影響著的,我們將永遠無法找出軟件易受bug影響編目在哪里!"伯克利大學ICSI技術研究員也很悲觀地同意Robert David的看法!他補充說道:“這bug很微妙,很邪惡,并將會伴隨我們多年。”
Redhat官方提供檢測方式
運行命令:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
如果返回如下內容,則請盡快升級。
vulnerable
this is a test