ShellShock漏洞影響廣泛 企業(yè)如何防范?
責(zé)編:admin |2014-10-07 16:16:17那么如何知道企業(yè)內(nèi)的相關(guān)設(shè)備是否存在ShellShock漏洞呢?
如果你是Linux系統(tǒng)的管理者,可以測試看看用這個(gè)指令來看系統(tǒng)有沒有漏洞。
在shell中輸入如下命令行:
env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test"
vulnerable
this is a test
如果是“Xthis is a test”就是系統(tǒng)還有漏洞,需盡快更新。
如果是“bash: warning: x: ignoring function definition attempt”,就沒有關(guān)系了。
這個(gè)漏洞是法國的Stéphane Chazelas發(fā)現(xiàn),而負(fù)責(zé)維護(hù)Bash Shell套件的Chet Ramey已經(jīng)推出了更新程序,把Bash 3.0到Bash 4.3的版本都做了修補(bǔ)。
綜上,目前各平臺的發(fā)行版已經(jīng)推出了各對應(yīng)版本的修補(bǔ)套件程序,使用相關(guān)平臺的人,可以盡快更新,因?yàn)檫@次的威脅力度不亞于上次的Heartbleed漏洞。
ShellShock漏洞影響廣泛 企業(yè)如何防范?
繼上次震驚業(yè)內(nèi)的Heartbleed漏洞被曝出后,現(xiàn)在又一個(gè)影響廣泛的ShellShock漏洞再次出現(xiàn)在大眾的面前。近日,美國的國家漏洞資料庫(NVD)對其發(fā)布了最新的漏洞通報(bào)(編號為CNNVD-201409-938)。那么這個(gè)漏洞將會產(chǎn)生怎樣的影響,企業(yè)又該怎樣防范呢?
此次曝出的ShellShock漏洞存在于Unix用戶、Linux用戶和系統(tǒng)管理員常常使用的GNU Bourne Again Shell(Bash)中,是一個(gè)允許遠(yuǎn)程執(zhí)行代碼的嚴(yán)重安全漏洞,其范圍涵蓋了絕大部分的Unix類操作系統(tǒng),如Linux、BSD、MAC OS X等等。
Bash是一款被用于控制眾多Linux電腦上的命令提示符的軟件,黑客可以利用Bash中的漏洞完全控制目標(biāo)系統(tǒng)。據(jù)悉,該漏洞與Bash處理來自操作系統(tǒng)或調(diào)用Bash腳本的應(yīng)用程序的環(huán)境變量有關(guān)。如果Bash是默認(rèn)的系統(tǒng)shell,網(wǎng)絡(luò)攻擊者可以通過發(fā)送Web請求、secure shell、telnet會話或其它使用Bash執(zhí)行腳本的程序攻擊服務(wù)器和其它Unix和Linux設(shè)備。
Bash除了可以將shell變量導(dǎo)出為環(huán)境變量,還可以將shell函數(shù)導(dǎo)出為環(huán)境變量。當(dāng)前版本的Bash通過以函數(shù)名作為環(huán)境變量名,以“(){”開頭的字串作為環(huán)境變量的值來將函數(shù)定義導(dǎo)出為環(huán)境變量。此次曝出的漏洞在于Bash處理“函數(shù)環(huán)境變量”的時(shí)候,并沒有以函數(shù)結(jié)尾“}”為結(jié)束,而是一直執(zhí)行其后的shell命令。
目前,接受HTTP命令的CGI Shell腳本是最主要的被攻擊對象。CGI標(biāo)準(zhǔn)將http請求的所有部分都映射到了環(huán)境變量。例如對于Apache的Httpd,字串'(){'可以出現(xiàn)在以下這些地方:
通過自定義這些參數(shù)的值為“函數(shù)環(huán)境變量”的形式,就可以遠(yuǎn)程執(zhí)行命令。
漏洞影響GNU Bash v1.14到v4.3,主要的Linux發(fā)行版,如Red Hat Enterprise Linux (v4到7)、Fedora、CentOS、Ubuntu和Debian都已經(jīng)發(fā)布了補(bǔ)丁,但補(bǔ)丁尚未完全修復(fù)問題。
網(wǎng)絡(luò)安全專家警告稱,ShellShock漏洞的嚴(yán)重級別為“10”,意味著它對用戶電腦的威脅最大。而該漏洞的利用復(fù)雜度級別為“低”,黑客只需要剪切和粘貼一行代碼即可利用它發(fā)動攻擊了。
ShellShock漏洞可以直接在Bash支持的Web CGI環(huán)境下遠(yuǎn)程執(zhí)行任意命令,攻擊面廣,影響范圍大,一些路由器、堡壘機(jī)、VPN等網(wǎng)絡(luò)設(shè)備將會是影響重災(zāi)區(qū)。而此前的“心臟出血”漏洞則僅能夠允許黑客監(jiān)控用戶電腦,但不會取得控制權(quán)。
如果你是Linux系統(tǒng)的管理者,可以測試看看用這個(gè)指令來看系統(tǒng)有沒有漏洞。
在shell中輸入如下命令行:
env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test"
vulnerable
this is a test
如果是“Xthis is a test”就是系統(tǒng)還有漏洞,需盡快更新。
如果是“bash: warning: x: ignoring function definition attempt”,就沒有關(guān)系了。
ShellShock漏洞影響廣泛 企業(yè)如何防范?
得到如下顯示表明已打上補(bǔ)丁
這個(gè)漏洞是法國的Stéphane Chazelas發(fā)現(xiàn),而負(fù)責(zé)維護(hù)Bash Shell套件的Chet Ramey已經(jīng)推出了更新程序,把Bash 3.0到Bash 4.3的版本都做了修補(bǔ)。
綜上,目前各平臺的發(fā)行版已經(jīng)推出了各對應(yīng)版本的修補(bǔ)套件程序,使用相關(guān)平臺的人,可以盡快更新,因?yàn)檫@次的威脅力度不亞于上次的Heartbleed漏洞。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧