Bash Shell 漏洞威脅猶如 Heartbleed,影響 Unix-Like 作業系統
繼上次 Linux 平台全球 Heartbleed 爆出漏洞,Shell Shock 也出現了威脅不小的漏洞,幾個小時前剛由美國政府的國家弱點資料庫(NVD)發表了最新的弱點通報(https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271)。範圍涵蓋絕大部分的 Unix-Like 作業系統,如Linux、BSD、MAC OS X 等等。
先前的 Heartbleed 漏洞只影響 OpenSSL ,這是傳輸資料加密相關的程式有漏洞,而駭客可以藉此攻破系統。而這次的 Shell Shock 漏洞是 Linux 用戶、系統管理員常使用的 Bash ,在許多版本中都有這個遠端執行程式碼的安全性漏洞。
如果你的網頁伺服器程式中有呼叫 Bash Shell 的話,駭客能夠利用漏洞去改變其環境變數,遠端執行惡意的程式碼,取得系統資料。
下面是這個漏洞相關的示範影片:
如果你是 Linux 系統的管理者,可以測試看看用這個指令來看系統有沒有漏洞。
在 shell 中輸入
env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test"
vulnerable
this is a test
如果是「Xthis is a test」就是系統還有漏洞,需儘快更新。
如果是「bash: warning: x: ignoring function definition attempt」,就沒有關係了。
env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x’ this is a test
這個漏洞是法國的 Stéphane Chazelas 發現,而負責維護 Bash Shell 套件的 Chet Ramey 已經推出了更新程式,把 Bash 3.0 到 Bash 4.3 的版本都做了修補。
目前各平台的發行版已經推出了各對應版本的修補套件程式,使用相關平台的人,可以趕快更新,這次的資安威脅威力不亞於上次的 Heartbleed 漏洞。