ShellShock漏洞影響廣泛 企業如何防范?
責編:admin |2014-10-07 16:16:17那么如何知道企業內的相關設備是否存在ShellShock漏洞呢?
如果你是Linux系統的管理者,可以測試看看用這個指令來看系統有沒有漏洞。
在shell中輸入如下命令行:
env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test"
vulnerable
this is a test
如果是“Xthis is a test”就是系統還有漏洞,需盡快更新。
如果是“bash: warning: x: ignoring function definition attempt”,就沒有關系了。
這個漏洞是法國的Stéphane Chazelas發現,而負責維護Bash Shell套件的Chet Ramey已經推出了更新程序,把Bash 3.0到Bash 4.3的版本都做了修補。
綜上,目前各平臺的發行版已經推出了各對應版本的修補套件程序,使用相關平臺的人,可以盡快更新,因為這次的威脅力度不亞于上次的Heartbleed漏洞。
ShellShock漏洞影響廣泛 企業如何防范?
繼上次震驚業內的Heartbleed漏洞被曝出后,現在又一個影響廣泛的ShellShock漏洞再次出現在大眾的面前。近日,美國的國家漏洞資料庫(NVD)對其發布了最新的漏洞通報(編號為CNNVD-201409-938)。那么這個漏洞將會產生怎樣的影響,企業又該怎樣防范呢?
此次曝出的ShellShock漏洞存在于Unix用戶、Linux用戶和系統管理員常常使用的GNU Bourne Again Shell(Bash)中,是一個允許遠程執行代碼的嚴重安全漏洞,其范圍涵蓋了絕大部分的Unix類操作系統,如Linux、BSD、MAC OS X等等。
Bash是一款被用于控制眾多Linux電腦上的命令提示符的軟件,黑客可以利用Bash中的漏洞完全控制目標系統。據悉,該漏洞與Bash處理來自操作系統或調用Bash腳本的應用程序的環境變量有關。如果Bash是默認的系統shell,網絡攻擊者可以通過發送Web請求、secure shell、telnet會話或其它使用Bash執行腳本的程序攻擊服務器和其它Unix和Linux設備。
Bash除了可以將shell變量導出為環境變量,還可以將shell函數導出為環境變量。當前版本的Bash通過以函數名作為環境變量名,以“(){”開頭的字串作為環境變量的值來將函數定義導出為環境變量。此次曝出的漏洞在于Bash處理“函數環境變量”的時候,并沒有以函數結尾“}”為結束,而是一直執行其后的shell命令。
目前,接受HTTP命令的CGI Shell腳本是最主要的被攻擊對象。CGI標準將http請求的所有部分都映射到了環境變量。例如對于Apache的Httpd,字串'(){'可以出現在以下這些地方:
通過自定義這些參數的值為“函數環境變量”的形式,就可以遠程執行命令。
漏洞影響GNU Bash v1.14到v4.3,主要的Linux發行版,如Red Hat Enterprise Linux (v4到7)、Fedora、CentOS、Ubuntu和Debian都已經發布了補丁,但補丁尚未完全修復問題。
網絡安全專家警告稱,ShellShock漏洞的嚴重級別為“10”,意味著它對用戶電腦的威脅最大。而該漏洞的利用復雜度級別為“低”,黑客只需要剪切和粘貼一行代碼即可利用它發動攻擊了。
ShellShock漏洞可以直接在Bash支持的Web CGI環境下遠程執行任意命令,攻擊面廣,影響范圍大,一些路由器、堡壘機、VPN等網絡設備將會是影響重災區。而此前的“心臟出血”漏洞則僅能夠允許黑客監控用戶電腦,但不會取得控制權。
如果你是Linux系統的管理者,可以測試看看用這個指令來看系統有沒有漏洞。
在shell中輸入如下命令行:
env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test"
vulnerable
this is a test
如果是“Xthis is a test”就是系統還有漏洞,需盡快更新。
如果是“bash: warning: x: ignoring function definition attempt”,就沒有關系了。
ShellShock漏洞影響廣泛 企業如何防范?
得到如下顯示表明已打上補丁
這個漏洞是法國的Stéphane Chazelas發現,而負責維護Bash Shell套件的Chet Ramey已經推出了更新程序,把Bash 3.0到Bash 4.3的版本都做了修補。
綜上,目前各平臺的發行版已經推出了各對應版本的修補套件程序,使用相關平臺的人,可以盡快更新,因為這次的威脅力度不亞于上次的Heartbleed漏洞。