压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　2014年9月24日Bash被公布存在遠程代碼執(zhí)行漏洞，隨后安天實驗室安全研究與應急處理中心在第一時間根據(jù)信息研判，確認該漏洞可以產生嚴重的后果，且分布廣泛，于北京時間9月24日早晨5時30分啟動了A級風險應急響應。

　　安天CERT針對該漏洞進行了嚴格地分析驗證，確認該漏洞會影響目前主流的Linux和Mac OSX操作系統(tǒng)平臺，包括但不限于Redhat、CentOS、Ubuntu、Debian、Fedora、Amazon Linux、OS X 10.10等平臺。該漏洞可以通過構造環(huán)境變量的值來執(zhí)行想要執(zhí)行的攻擊代碼腳本，會影響到與Bash交互的多種應用，包括HTTP、OpenSSH、DHCP等。根據(jù)目前的漏洞驗證情況以及已經流傳的POC情況，這個漏洞將嚴重影響網絡基礎設施的安全，包括但不限于網絡設備、網絡安全設備、云和大數(shù)據(jù)中心等。

　　根據(jù)信息檢索，本漏洞發(fā)現(xiàn)者為法國GNU/LINUX研究者StéphaneChazelas，發(fā)現(xiàn)時間為2014年9月中旬，而披露時間為2014年9月24日。

　　特別是Bash廣泛地分布和存在于設備中，其消除過程將非常長尾，且易于利用其編寫蠕蟲進行自動化傳播，同時也將導致僵尸網絡的發(fā)展，目前已有多個境外安全機構發(fā)出了警告。

　　安天CERT目前已驗證在Red Hat、CentOS、Ubuntu 、Fedora 、Amazon Linux 、OS X 10.10中均擁有存在CVE-2014-6271漏洞的Bash版本，同時由于Bash在各主流操作系統(tǒng)的廣泛應用，此漏洞的影響范圍包括但不限于大多數(shù)應用Bash的Unix、Linux、Mac OS X，而針對這些操作系統(tǒng)管理下的數(shù)據(jù)均存在高危威脅。漏洞的利用方式會通過與Bash交互的多種應用展開，包括HTTP、OpenSSH、DHCP等。

　　安天CERT目前抽樣驗證當前出廠預裝的Android操作系統(tǒng)暫不支持ENV命令，可推測針對Android操作系統(tǒng)受到此漏洞影響的可能性較小。

　　這是安天CERT今年內第二次做出A級響應，而此前一次是Heart Bleed(心臟出血)。當我們回望安天A級響應的檔案，我們看到了很多熟悉的名字：口令蠕蟲、震蕩波、沖擊波……

　　而在“心臟出血”出現(xiàn)之前的幾年時間內，正是威脅高度定向化發(fā)展的時代，安天CERT的工作重心轉向去分析更為精致、漫長的APT攻擊，已經有多年未啟動過A級響應。所以當“心臟出血”到來的時候，我們顯得那樣慌亂。我們已經不習慣被凌晨從睡夢中叫醒，我們突然發(fā)現(xiàn)基礎環(huán)境需要重新搭建。當時我們的感覺是，如同一群在犯罪現(xiàn)場小心取證、捉摸研究的偵探，突然發(fā)現(xiàn)全城大火，任務迅速變成全體去參與救火……而對安全分析工程師來說，只要重入火線，就可以喚醒沉睡的敏銳和血性。