Bash 惊现年度最大安全漏洞!

Posted 天津市大学软件学院

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Bash 惊现年度最大安全漏洞!相关的知识,希望对你有一定的参考价值。

Linux 用户这几天又得到了一个“惊喜”! Red Hat 安全团队在 Linux 中广泛使用的 Bash shell 中发现了一个隐晦而危险的安全漏洞。该漏洞被称作“Bash Bug”或“Shellshock”。


当用户正常访问,该漏洞允许攻击者的代码像在 shell 中一样执行,这就为各种各样的攻击打开了方便之门。而且,更糟糕的是该漏洞已经在 Linux 中存在很久了,所以修补某个 Linux 机器很容易,但是要全部修补,几乎不可能完成。

Red Hat 和 Fedora 已经发布了针对该漏洞的修补程序。该漏洞也会影响 OS X,不过苹果公司尚未发布正式的修补程序。


这个 Bash 漏洞可能比 Heartbleed 更危险。

— — Robert Graham (@ErrataRob) 2014 年 9 月 24 日


Red Hat 的 Errata Security 团队的 Robert David Graham 比较了这个安全漏洞和 Heartbleed 的风险,该漏洞分布更广泛,有可能对系统安全带来长期影响。Graham 在一篇博客文章中写道,“有大量的软件以某种方式与 shell 交互,我们没有办法列举受到该漏洞影响的所有软件。”据 Verge 得到的消息,Berkeley ICSI 的研究员Nicholas Weaver 也悲观的同意这个说法:“它很隐晦、很可怕,并且将会伴随我们多年。”


网络安全公司Rapid7工程部经理 Tod Beardsley 警告称,Bash漏洞的严重级别为“10”,意味着它对用户电脑的威胁最大。Bash漏洞的利用复杂度级别为“低”,意味着黑客可以相对轻松地利用它发动攻击。


另有网络安全公司Trail of Bits的CEO Dan Guido表示,“Heartbleed”漏洞能够允许黑客监控用户电脑,但不会取得控制权。而利用Bash漏洞的方法也更简单——只需要剪切和粘贴一行代码即可。


据称,谷歌安全研究员 Tavis Ormandy 在Twitter上表示,Linux系统提供商推出的补丁似乎“并不完整”,这引发了几位安全专家的担忧。


已知受到影响的 Linux 发行版和软件包括:


Ubuntu Ubuntu Linux 12.04 LTS i386/amd64

Ubuntu Ubuntu Linux 10.04 sparc/powerpc/i386/ARM/amd64

GNU GNU bash 3.1.4/3.0.16/4.2/4.1/4.0 RC1/4.0/3.2.48/3.2/3.00.0(2)/3.0

Debian Linux 6.0 sparc/s390/powerpc/mips/ia-64/ia-32/arm/amd64

CentOS CentOS 5


以上是关于Bash 惊现年度最大安全漏洞!的主要内容,如果未能解决你的问题,请参考以下文章

美军网站惊现SQL注入,是漏洞还是蜜罐?

iOS13.6惊现重磅漏洞,越狱有戏!

光大信用卡惊现提额漏洞,中介一小时狂赚四十万!

年度安全漏洞&年度最佳安全开源项目 | WitAwards 2020中国网络安全创新年度评选火热进行中

CCID: 2015-2016年度中国信息安全产品市场研究年度报告

2018年度总结