鲸犀峰会
您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
业界专题 正文
发私信给Longye
发送

1

Shellshock爆发,“心血漏洞”卷土重来

本文作者:Longye 2014-09-26 02:43
导语:一个新的漏洞在昨天被发现,它代号“ Shellshock”(安全实验室翻译其中文名为“破壳”),属高危漏洞,被安全人士一致认为影响范围可以与今年4月份出现的“心脏出血/Heartbleed ”漏洞相比。

一个新的漏洞在昨天被发现,它代号“ Shellshock”(安全实验室翻译其中文名为“破壳”),属高危漏洞,被安全人士一致认为影响范围可以与今年4月份出现的“心脏出血/Heartbleed ”漏洞相比。

产生“ Shellshock”漏洞的程序叫做bash。

这是一个比OpenSSL还要古老的开源程序,它正式诞生至今已有25年。bash属于命令行程序,你可以类比于Windows下的“cmd”,但它的功能还要强大。简单的说,bash是Linux系统的“命令行”桌面之一,通过向它输入指令,你才能操作电脑。

bash的市场占有率极高。它内置在世界上绝大多数Linux及UNIX系统内,并是大多数Linux、v10.4以上的OS X、移植到Windows平台的Cygwin等系统的默认Shell,也就是前边所说的“命令行”桌面。

通过“ Shellshock”漏洞,黑客可以远程完全控制该系统。

“ Shellshock”利用了bash环境变量的不当处理漏洞,它可以引发恶意类型的远程执行代码。换句话说,借助这个漏洞,黑客可以非常隐蔽的在系统中执行命令,从而有可能获取最高权限。360安全研究员redrain表示,只要这台设备在公网内,就可以利用“ Shellshock”。

目前追溯到bash受影响的范围,从v1.13到最新的v4.3,几乎涉及它公开发布的所有版本。

“ Shellshock”对网站服务器、物联网产品、工控设备等影响非常大。

目前来看,Windows用户基本不受影响,因为没安装bash;Mac用户默认预装了bash,还需要等待苹果官方的回应,目前实测最新版存在此漏洞;互联网网站可能会有大范围受影响,目前国内已经出现第一起利用实例;采用Linux核心的物联网和工控设备同样非常容易受到攻击。

目前状况

bash在昨天下午推出一版安全更新,但据说并未完全解决漏洞,还有利用方法。国内多家安全机构正在研究这一漏洞,预计近两天会有漏洞的详细分析出来。不过鉴于绝大多数工控以及物联网设备并不注重安全,这次受影响的是bash的所有版本,老旧设备可能无法得到更新,它的影响会更深远。

雷锋网(公众号:雷锋网)将持续关注此事。


附:安天实验室给出了一个验证漏洞的方法,在命令行/shell中执行下面命令:

env x='() { :;}; echo VulnerableCVE-2014-6271 ' bash -c "echo test"

执行命令后,如果显示VulnerableCVE-2014-6271,则证明系统存在漏洞,(黑客)可改变echo VulnerableCVE-2014-6271为任意命令进行执行。

部分信息引自readwrite安天实验室

雷锋网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

文章点评:

表情

NULL

@leiphone.com
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说