漏洞頻出現(xiàn) 供應(yīng)商加緊推出新的Bash補(bǔ)丁
責(zé)編:admin |2014-10-09 15:31:05對(duì)于這個(gè)迅速吞沒安全社區(qū)的Bourne-again shell(Bash)中的“Shellshock”漏洞,已經(jīng)打了補(bǔ)丁的IT專業(yè)人士可能認(rèn)為他們不需要擔(dān)心這個(gè)漏洞了。然而,研究人員又發(fā)現(xiàn)了原來被 忽視的問題,并發(fā)布了新的補(bǔ)丁,IT專業(yè)人士需要重新再更新系統(tǒng)。
Bash漏洞(CVE-2014-6271)一經(jīng)發(fā)布就引起了廣泛關(guān)注,因?yàn)檫@個(gè)shell可以處理特制的環(huán)境變量,即其擁有在最后附加額外的惡意代碼的 功能。在通用安全漏洞評(píng)分系統(tǒng)(CVSS),該漏洞被評(píng)為10.0,它影響著世界各地?cái)?shù)以百萬計(jì)的Linux系統(tǒng),甚至讓人們將其與臭名昭著的Heartbleed OpenSSL漏洞作比較。
在該漏洞曝光后,Bash的項(xiàng)目管理者迅速發(fā)布了一個(gè)補(bǔ)丁;Red Hat等供應(yīng)商隨后更新了其產(chǎn)品,而這之后,研究人員發(fā)現(xiàn)了避開這個(gè)補(bǔ)丁的潛在方法。谷歌安全研究人員Tavis Ormandy是最早在Twitter上呼吁人們關(guān)注這個(gè)尚有缺陷的補(bǔ)丁的人之一。
對(duì)于我來說,這個(gè)bash補(bǔ)丁似乎不完全,函數(shù)解析依然脆弱,例如$ env X='() { (a)=>' sh -c "echo date"; cat echo
——Tavis Ormandy (@taviso)
Ormandy的發(fā)現(xiàn)讓我們看到了新發(fā)現(xiàn)的問題(CVE=2014-7169),并導(dǎo)致隨后發(fā)布第二次補(bǔ)丁,但這兩個(gè)補(bǔ)丁都沒有完全修復(fù)曝光的shell 解析功能。在OSS-SEC郵件列表討論了這些問題后,研究人員上周末發(fā)現(xiàn)了Bash中兩個(gè)未指明的漏洞,被標(biāo)記為CVE-2014-7186和CVE- 2014-7187,不過這些漏洞的嚴(yán)重程度尚不清楚。
另一位谷歌安全研究人員Micha Zalewski在其博客中表示他在周末還發(fā)現(xiàn)另一對(duì)Bash漏洞:CVE-2014-6277和CVE-2014-6278。雖然CVE- 2014-6277是解析問題,最有可能被遠(yuǎn)程利用,Zalewski表示,他認(rèn)為CVE-2014-6278可能是自Shellshock曝光以來發(fā)現(xiàn) 的“最嚴(yán)重的問題”。
CVE-2014-6278本質(zhì)上允許“在已經(jīng)修復(fù)第一個(gè)補(bǔ)丁的系統(tǒng)上執(zhí)行非常簡(jiǎn)單和直接的遠(yuǎn)程代碼,”Zalewski在其博客中指出,他計(jì)劃將陸續(xù)公布關(guān)于漏洞的更多細(xì)節(jié)信息,“這是‘把你的命令放在這里’類型的漏洞,類似于原來報(bào)告中所描述的那樣。”
基于Zalewski的發(fā)現(xiàn),Red Hat公司產(chǎn)品安全研究人員Florian Weimer發(fā)布了非官方的Bash補(bǔ)丁,據(jù)稱該補(bǔ)丁解決了上周所有已報(bào)道的Bash安全漏洞。Weimer的補(bǔ)丁隨后被項(xiàng)目管理者Chet Ramey采用,作為周六發(fā)布的Bash 4.3官方補(bǔ)丁的一部分。
在這個(gè)新補(bǔ)丁發(fā)布之際,業(yè)內(nèi)一些大公司已經(jīng)努力在各種產(chǎn)品中修復(fù)Bash。甲骨文公司發(fā)布的安全警報(bào)證實(shí)該供應(yīng)商的幾十款產(chǎn)品受到最初Shellshock漏洞以及最新的CVE-2014-7169的影響,但該公司沒有說明客戶何時(shí)會(huì)得到永久性修復(fù)。
思科為使用包含易受攻擊版本Bash的產(chǎn)品的客戶提供了軟件更新,但隨后的發(fā)現(xiàn)讓我們還不清楚這些補(bǔ)丁是否最終被證明是暫時(shí)的。
Zalewski表示:“在這一點(diǎn)上,我非常強(qiáng)烈地建議手動(dòng)部署Florian的補(bǔ)丁,除非你的發(fā)行版已經(jīng)發(fā)貨了。”
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧