Linux再曝安全漏洞Bash 比心脏出血还严重

Posted 2021-05-02 Linux公社

　　9月25日消息：一个被指比“心脏出血”还要严重的Linux安全漏洞被发现，尽管还没有发现利用该漏洞进行的攻击，但是比“心脏出血”更低的操作门槛让它比前者更加危险。

　　Bash是用于控制Linux计算机命令提示符的软件。网络安全公司Trail of Bits的首席执行官丹·吉多表示：“与心脏出血”只允许黑客窥探计算机，但不会让黑客获得计算机的控制权。Bash漏洞则不一样，黑客可以利用它对目标计算机系统进行完全控制。

　　更糟的是，利用Bash漏洞的方法更加简单，只要直接剪切和粘贴一行软件代码，就能取得效果。如此低的门槛可能会吸引来更多的黑客进行攻击，这也是安全专家担心的地方。

　　网络安全公司Rapid7的工程经理托德·比尔兹利表示Bash漏洞的严重程度被评为10级，而且利用难度被评为“低”级，这就是说会有更多的黑客利用它造成更严重的安全危机。

　　比尔兹利称：“利用这个漏洞，攻击者可能会接管计算机的整个操作系统，得以访问机密信息，并对系统进行更改等等。任何人的计算机系统，如果使用了Bash软件，都需要立即打上补丁。”

　　专家建议，有条件的企业用户可以进行非必要的服务器断网，以保护服务器不会受到Bash漏洞的攻击，直到这一漏洞得到修复为止。

OpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160) http://www.linuxidc.com/Linux/2014-04/99741.htm

OpenSSL严重bug允许攻击者读取64k内存，Debian半小时修复 http://www.linuxidc.com/Linux/2014-04/99737.htm

OpenSSL “heartbleed” 的安全漏洞 http://www.linuxidc.com/Linux/2014-04/99706.htm

通过OpenSSL提供FTP+SSL/TLS认证功能，并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htm