Linux.中国 - 开源社区

 找回密码
 骑士注册

QQ登录

微博登录


Bash 惊现年度最大安全漏洞!

2014-9-25 12:41    评论: 35 分享: 8    

Linux 用户今天又得到了一个“惊喜”! Red Hat 安全团队在 Linux 中广泛使用的 Bash shell 中发现了一个隐晦而危险的安全漏洞。该漏洞被称作“Bash Bug”或“Shellshock”。

当用户正常访问,该漏洞允许攻击者的代码像在 shell 中一样执行,这就为各种各样的攻击打开了方便之门。而且,更糟糕的是该漏洞已经在 Linux 中存在很久了,所以修补某个 Linux 机器很容易,但是要全部修补,几乎不可能完成。

Red Hat 和 Fedora 已经发布了针对该漏洞的修补程序。该漏洞也会影响 OS X,不过苹果公司尚未发布正式的修补程序。

这个 Bash 漏洞可能比 Heartbleed 更危险。
— — Robert Graham (@ErrataRob) 2014 年 9 月 24 日

Red Hat 的 Errata Security 团队的 Robert David Graham 比较了这个安全漏洞和 Heartbleed 的风险,该漏洞分布更广泛,有可能对系统安全带来长期影响。Graham 在一篇博客文章中写道,“有大量的软件以某种方式与 shell 交互,我们没有办法列举受到该漏洞影响的所有软件。”据 Verge 得到的消息,Berkeley ICSI 的研究员Nicholas Weaver 也悲观的同意这个说法:“它很隐晦、很可怕,并且将会伴随我们多年。”

网络安全公司Rapid7工程部经理 Tod Beardsley 警告称,Bash漏洞的严重级别为“10”,意味着它对用户电脑的威胁最大。Bash漏洞的利用复杂度级别为“低”,意味着黑客可以相对轻松地利用它发动攻击。

另有网络安全公司Trail of Bits的CEO Dan Guido表示,“Heartbleed”漏洞能够允许黑客监控用户电脑,但不会取得控制权。而利用Bash漏洞的方法也更简单——只需要剪切和粘贴一行代码即可。

据称,谷歌安全研究员 Tavis Ormandy 在Twitter上表示,Linux系统提供商推出的补丁似乎“并不完整”,这引发了几位安全专家的担忧。

已知受到影响的 Linux 发行版和软件包括:

  • Ubuntu Ubuntu Linux 12.04 LTS i386/amd64
  • Ubuntu Ubuntu Linux 10.04 sparc/powerpc/i386/ARM/amd64
  • GNU GNU bash 3.1.4/3.0.16/4.2/4.1/4.0 RC1/4.0/3.2.48/3.2/3.00.0(2)/3.0
  • Debian Linux 6.0 sparc/s390/powerpc/mips/ia-64/ia-32/arm/amd64
  • CentOS CentOS 5

更多技术细节,可以参考:

发表评论


最新评论

我也要发表评论

文剑一飞 2014-9-26 22:31
1
文剑一飞 发表于 2014-9-26 11:28 的评论:
打补丁能解决的问题都不是问题
2
linux 发表于 2014-9-26 13:14 的评论:
可是不是每个机器都能打补丁,也不是每个人都会打补丁。
能打补丁解决的问题都不是问题
回复
linux 2014-9-26 18:08
1
绿色圣光 发表于 2014-9-26 13:56 的评论:
哦。知道了。坐等更新。
又有新的更新了,上次没更新的一起更新吧;上次更新了,那就再来一遍吧。哈哈。
对了话说,你对 IBM 的 PowerLinux 感兴趣不,我最近准备给联系一次 PowerLinux 的测试体验活动,有兴趣的话,可以报个名。
回复
绿色圣光 2014-9-26 13:56
哦。知道了。坐等更新。
回复
linux 2014-9-26 13:14
1
文剑一飞 发表于 2014-9-26 11:28 的评论:
打补丁能解决的问题都不是问题
可是不是每个机器都能打补丁,也不是每个人都会打补丁。
回复
love_daisy_love 2014-9-26 11:46
1
法系菜刀_快乐采药农 发表于 2014-9-25 13:33 的评论:
我能不能问下配图是怎么回事?
随意的吧,应该
回复
文剑一飞 2014-9-26 11:28
打补丁能解决的问题都不是问题
回复
我不是老柴 2014-9-26 06:03  新浪微博网友评论
年末旺季,年度大招已经上线[挖鼻屎]
回复
杨振James 2014-9-26 06:03  新浪微博网友评论
我的也是Bash[吃惊]
回复
Tom_Bu 2014-9-25 23:33  新浪微博网友评论
回复@beebol:现有的补丁只能让触发漏洞更难
回复
netb2c 2014-9-25 23:15
https://access.redhat.com/node/1200223
回复
beebol 2014-9-25 23:03  新浪微博网友评论
升级4.3没有用了
回复
Xiao__萧 2014-9-25 23:03  新浪微博网友评论
回复
linux 2014-9-25 21:58
哎,今年以来,Linux/开源方面屡屡爆出惊天漏洞,从长远角度看是好的,说明使用的人多了,也有更多人重视了;但是从短期看,会打击一些人的信心。
回复
linux 2014-9-25 21:56
1
非洲Aji開源哥_lisp 发表于 2014-9-25 14:03 的评论:
。。。 ZSH 也受影响了。。。//@爱开源魅影: 转发微博
2
felixonmars 发表于 2014-9-25 16:24 的评论:
关于 CVE-2014-6271 和 CVE-2014-7169, 已测试 ZSH 并不受影响.
好!谢谢测试反馈!
回复
夜域诡士 2014-9-25 21:36
漏洞已报,看来以后要多多注意才是
8 回复
半岛不黑 2014-9-25 17:03  新浪微博网友评论
妈蛋啊 要通宵的节奏啊
回复
felixonmars 2014-9-25 16:24
1
非洲Aji開源哥_lisp 发表于 2014-9-25 14:03 的评论:
。。。 ZSH 也受影响了。。。//@爱开源魅影: 转发微博
关于 CVE-2014-6271 和 CVE-2014-7169, 已测试 ZSH 并不受影响.
回复
felixonmars 2014-9-25 16:21
不幸的是, 这个漏洞补丁并不完全. 关于这个不完全的补丁中依然存在的问题已经发布了漏洞编号 CVE-2014-7169, 目前为止各大发行版均未修复.
详情: https://access.redhat.com/security/cve/CVE-2014-7169
1 回复
wo是大富 2014-9-25 15:33  新浪微博网友评论
……
回复
西北戡乱左季高 2014-9-25 14:03  新浪微博网友评论
Repost
回复
12下一页

热点评论

夜域诡士 2014-9-25 21:36
漏洞已报,看来以后要多多注意才是
8
felixonmars 2014-9-25 16:21
不幸的是, 这个漏洞补丁并不完全. 关于这个不完全的补丁中依然存在的问题已经发布了漏洞编号 CVE-2014-7169, 目前为止各大发行版均未修复.
详情: https://access.redhat.com/security/cve/CVE-2014-7169
1
返回顶部

分享到微信朋友圈

打开微信,点击底部的“发现”,
使用“扫一扫”将网页分享至朋友圈。