首页网站公告Linux Bash严重漏洞修复方法
Linux Bash严重漏洞修复方法

 

继“心脏流血”漏洞之后,安全研究专家又发现了一个危险级别为“毁灭级”(catastrophic)的漏洞,开源软件公司Red Hat在一份报告中称,在Linux系统中广泛使用的Bash软件漏洞有可能让黑客利用攻击一切连入互联网的设备。
    Bash漏洞会让所有基于Linux系统的设备都受到黑客攻击的潜在威胁,不单单是苹果桌面电脑、安卓设备、Windows设备、IBM系统机,还包括智能灯泡一类的智能家电、计算器、智能汽车等等。说白了就是,一切互联网和“物联网”都面临受到攻击的威胁。
    相比此前曝光的“心脏流血”漏洞(heartbleed bug),Bash漏洞还要危险。因为黑客可以借助“心脏流血”漏洞窃取电脑信息,却无法完全控制电脑,但攻击者有可能借助Bash漏洞控制系统,获取机密信息,甚至修改设置。
    据悉,该漏洞编号为CVE-2014-6271。受影响的linux版本包括:Red Hat企业Linux (versions 4 ~7) 、Fedora distribution、CentOS (versions 5 ~7)、Ubuntu 10.04 LTS,12.04 LTS和14.04 LTS、Debian全版本。
【漏洞描述】
该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行。


【漏洞检测方法】

修复前
输出:
vulnerable
this is a test


使用修补方案修复后
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'
this is a test
特别提示:该修复不会有任何影响,如果您的脚本使用以上方式定义环境变量,修复后您的脚本执行会报错。

【建议修补方案 】
GNU官方补丁所在地址:
http://seclists.org/oss-sec/2014/q3/650
* 各大发行版的解决方法:

Debian:
  查看 
https://www.debian.org/security/2014/dsa-3032

Ubuntu:
  查看 
http://www.ubuntu.com/usn/usn-2362-1/

CentOS:
  # yum -y update bash

Fedora:
  查看 
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-6271

发布时间:2014-09-27