Linux.中国 - 开源社区

 找回密码
 骑士注册

QQ登录

微博登录


Shellshock后续漏洞

2014-10-2 17:43    评论: 9 收藏: 1 分享: 3    

CVE-2014-6277和CVE-2014-6278终于曝光。

POC:

bash -c "f() { x() { _; }; x() { _; } <<a; }"

漏洞的发现者Michal Zalewski给出了详细的分析,BASH社区补丁还在紧急的修复中,因为涉及backporting中的一些比较蛋疼的问题,预计UPSTREAM得到这个礼拜末才能完成修复工作。也就是说GNU/Linux发行版最早应该会在本周末或者下个礼拜才能修复,在这一段时期特别对于生产环境的服务器是比较危险的。

有2个方法来降低风险:

  1. ASLR/PIE/NX/CANARY/RELRO加固Bash重新部署
  2. 保证你的机器至少使用了Florian Weimer的补丁

 

发表评论


最新评论

我也要发表评论

夜行虎 2014-10-10 08:49
1
夜行虎 发表于 2014-10-8 18:55 的评论:
运行后的结果是啥?
2
linux 发表于 2014-10-8 20:33 的评论:
还在继续补,不过该补的都补了,不补也当不知道了。
在SLES11SP3中运行时会出现“Segmentation fault”错误。
回复
linux 2014-10-8 20:50
1
夜行虎 发表于 2014-10-8 18:55 的评论:
运行后的结果是啥?
我也不知道,具体情况没仔细分析过。
回复
linux 2014-10-8 20:33
1
夜行虎 发表于 2014-10-8 18:55 的评论:
运行后的结果是啥?
还在继续补,不过该补的都补了,不补也当不知道了。
9 回复
夜行虎 2014-10-8 18:55
运行后的结果是啥?
回复
linux 2014-10-4 11:14
1
发表于 2014-10-2 18:38 的评论:
据说换到zsh就没事了
2
linux 发表于 2014-10-3 00:10 的评论:
不行
3
发表于 2014-10-3 08:26 的评论:
zsh没有这个特性啊
不是,zsh本身不要紧,而是你的机器上一定有 bash 吧,即便你不用,可攻击者会用。你说删除?——我想也许删除了会带来一些其它依赖它的脚本什么的问题。。。so,所以,你个人用 zsh 是没用的,该补还的补,不能补就堵吧。
回复
风过清秋 2014-10-3 09:03  新浪微博网友评论
又来……
回复
游客 2014-10-3 08:26
1
发表于 2014-10-2 18:38 的评论:
据说换到zsh就没事了
2
linux 发表于 2014-10-3 00:10 的评论:
不行
zsh没有这个特性啊
回复
linux 2014-10-3 00:10
1
发表于 2014-10-2 18:38 的评论:
据说换到zsh就没事了
不行
回复
游客 2014-10-2 18:38
据说换到zsh就没事了
回复

热点评论

linux 2014-10-8 20:33
还在继续补,不过该补的都补了,不补也当不知道了。
9
返回顶部

分享到微信朋友圈

打开微信,点击底部的“发现”,
使用“扫一扫”将网页分享至朋友圈。