安全警告十一长假网购有风险！Bash根本补不上

Posted 2021-05-02 安全牛

法国开源工作者Chazelas也许没有意识到，Bash Shellshock漏洞的发布，引发了全球僵尸网络的狂欢，而漏洞的修补，则可能变成无休止的打地鼠游戏，这对于各国国防部和假日网购人群来说都不是好消息。

法国Linux爱好者Stéphane Chazelas发现的Bash Shellshock漏洞被安全界认为是十年来最严重的安全漏洞，危害性甚至超过心脏出血漏洞。

因为这个漏洞能影响众多的运行在GNU/Linux上的会跟BASH交互的应用程序，包括OpenSSH, Apache2, php, dhcp client甚至带SUID的程序。

之所以说危害性可能超过心脏出血漏洞，是因为Shellshock比心脏出血漏洞更容易实现自动化攻击目标，该漏洞本身的特性会催生蠕虫的产生。

僵尸网络的狂欢

安全牛在26日凌晨网站发布的“Shellshock被僵尸网络利用，漏洞发布再次导致灾难”一文中曾指出：“Shellshock被形容为历来发现的最严重和最普遍的网络安全漏洞之一，就连技术含量最高的政府和军方系统也因Shellshock的存在而变得脆弱。”

这种担心很快就变成了现实，据Arstechinca的报道，最先是Blue Coat公司发现Shellshock漏洞发布后4.5小时内就已经有攻击者开始扫描利用Shellshock漏洞，而且已经有DDoS僵尸网络开始在攻击中利用Shellshock漏洞。

补不上的黑洞？漏洞修补变打地鼠游戏

在僵尸网络狂欢的同时，Shellshock漏洞补丁却关键时刻掉链子。Shellshock漏洞发布后，包括大型互联网公司、产品公司和安全公司 社会各界纷纷发布修补漏洞，不少开发者发现新发布的Bash代码补丁依然存在漏洞，Google的信息安全工程师Tavis Ormandy在Twitter上发推文指出：Linux社区本周三匆匆给出的bash补丁“看上去很不充分，函数解析依然存在安全问题。”看到Ormandy在开源软件安全邮件列表中的信息后，Bash代码的维护者Chet Ramey本周三晚又重写了一个新补丁，但由于新补丁需要测试和打包，第一次放出的问题补丁直到本周五都没有从各大Linux发行版中撤下。（RedHat周六发布了新补丁）

但事故才刚刚开始，昨天稍晚些时候，日本开源软件工程师Norihiro Tanaka在Bash bug维护列表中发信指出，通过一个环境变量“cat”能绕过最新发布的bash补丁，发出可执行命令。

计算机科学家David Wheeler看到Tanaka的邮件后，在开源软件安全列表（OSS-SEC）中指出：

我们很感谢大家在发布补丁（bash43-026）所做的努力，但这个补丁目前看来压根解决不了根本问题。第二个补丁并没有解决第一个补丁的解析错误，让这件事看上去就像是打地鼠游戏。Bash的解析器存在大量漏洞，因为bash最初设计的时候根本（不需要）考虑安全问题。

安全专家John Haxby更是发博文指出：

一位安全界的朋友悲观地认为bash的漏洞将补不胜补，Bash将成为一个取之不尽的漏洞喷泉，除非它停止自动解析标准环境变量。我已经关掉了手里的几个网站，因为实在是对目前官方的所谓补丁没信心。出于同样的原因，我这两天也没敢从网上买东西。我怀疑很多安全专家都在这么做。

虽然安全专家们的终告听上去有些耸人听闻，但实际上Shellshock的补丁确实没有彻底补漏，那些使用bash向操作系统或启动软件的系统依然面临严重威胁。

Wheeler推荐了两个彻底修复bash代码的建议，但缺点是会影响到对旧版本bash的兼容性。第一个修复建议来自德国计算机安全专家Florian Weimer，他建议给bash函数增加前缀，防止他们与系统变量重名（目前Shellshock漏洞的利用方式之一）。第二个修复建议来自NetBSD开发者Dr. Christors Zoulas，他建议bash仅在收到明确请求后，才导入环境变量，这样可以防止bash意外将恶意代码或无关数据导入。目前已经有开发者开始采用以上两个建议修复漏洞，例如FreeBSD在最新的bash修订版本中已经默认关闭了导入功能。

－－－

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛！