Bash Shell 漏洞威脅不小於 Heartbleed!Unix-Like 作業系統請儘速更新

作者 | 發布日期 2014 年 09 月 25 日 18:08 | 分類 資訊安全
thinkstock-rbrb2118

繼上次 OpenSSL 全球爆出 Heartbleed 漏洞,現在 Bash 也出現了威脅不小的漏洞,稱之為Shell Shock 。在幾個小時前剛由美國政府的國家弱點資料庫(NVD)發表了最新的弱點通報。範圍涵蓋絕大部分的 Unix-Like 作業系統,如Linux、BSD、MAC OS X 等等。




先前的 Heartbleed 漏洞只影響 OpenSSL ,這是傳輸資料加密相關的程式有漏洞,而駭客可以藉此攻破系統,涵蓋的作業系統範圍從 Unix-Like 到 Windows 都有。而這次的 Shell Shock 漏洞是Unix-Like 作業系統平台用戶、系統管理員常使用的 Bash ,在許多版本中都有這個遠端執行程式碼的安全性漏洞。

如果你的網頁伺服器程式中有呼叫 Bash Shell 的話,駭客能夠利用漏洞去改變其環境變數,遠端執行惡意的程式碼,取得系統資料。儘管這個漏洞的應用範圍有限,但仍是個值得關注的手法,因此各資安專家們都呼籲管理員們進行更新。

下面是這個漏洞相關的示範影片:

如果你是 Linux 系統的管理者,可以測試看看用這個指令來看系統有沒有漏洞。
在 shell 中輸入

export VULNCHECK='() { :; }; echo this is a test‘; bash

如果是「this is a test」就是系統還有漏洞,需儘快更新。
如果是「bash: warning: VULNCHECK: ignoring function definition attempt」,就沒有關係了。

這個漏洞是法國的 Stéphane Chazelas 發現,而負責維護 Bash Shell 套件的 Chet Ramey 已經推出了更新程式,把 Bash 3.0 到 Bash 4.3 的版本都做了修補。

目前各平台的發行版已經推出了各對應版本的修補套件程式,使用相關平台的人,可以趕快更新,這次的資安威脅威力不亞於上次的 Heartbleed 漏洞。

首圖來源:uscollegesearch 

關鍵字: ,

發表迴響