Bash軟件安全漏洞檢測及解決方案
責編:admin |2014-09-26 21:48:539月25日消息,繼“心臟流血”漏洞之后,安全研究專家又發現了一個危險級別為“毀滅級”(catastrophic)的漏洞,開源軟件公司Red Hat在一份報告中稱,在Linux系統中廣泛使用的Bash軟件漏洞有可能讓黑客利用攻擊一切連入互聯網的設備。
Bash是一款在很多Unix電腦中用于控制命令提示符的軟件,黑客可以借助Bash中的漏洞完全控制目標系統。
美國國土安全部下屬的美國電腦緊急響應團隊(以下簡稱“US-CERT”)發出警告稱,這一漏洞可能影響基于Unix的操作系統,包括Linux和Mac OS X
漏洞詳情頁面:http://seclists.org/oss-sec/2014/q3/650
漏洞級別:非常嚴重
redhat官方提供漏洞詳情
A flaw was found in the way Bash evaluated certain specially crafted environment variables. An attacker could use this flaw to override or bypass environment restrictions to execute shell commands. Certain services and applications allow remote unauthenticated attackers to provide environment variables, allowing them to exploit this issue.
redhat官方提供檢測方式
運行命令:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"如果返回以下內容:則請盡快升級。
vulnerable
this is a test
目前官方已經提供了升級包請運行:yum update -y bash 進行升級處理!
Bash軟件安全漏洞檢測及解決方案
RedHat, CentOS or Fedora bash版本將升級到bash-4.1.2-15.el6_5.1.x86_64