linux 心脏滴血漏洞,漏洞bash近日“破壳”,当心再次“心脏出血”

linux 心脏滴血漏洞,漏洞bash近日“破壳”,当心再次“心脏出血”2014年9月24日,外媒曝出一个广泛存在于主流操作系统的漏洞bash,该漏洞会影响到Redhat、CentOS、Ubuntu、Debian、Fedora、AmazonLinux、OSX10.10等平台,预计影响范围和纵深程度都可能匹敌或者超过今年4月发现的“心脏流血”(Heartbleed)漏洞。9月25日,经过与兄弟厂商的讨论,最终决定将此此漏洞中文名命名为“破壳,并于25日一早将此…

大家好,又见面了,我是你们的朋友全栈君。

2014年9月24日,外媒曝出一个广泛存在于主流操作系统的漏洞bash,该漏洞会影响到Redhat、CentOS、Ubuntu、Debian、Fedora 、Amazon Linux、OS X 10.10等平台,预计影响范围和纵深程度都可能匹敌或者超过今年4月发现的“心脏流血”(Heartbleed)漏洞。

9月25日,经过与兄弟厂商的讨论,最终决定将此此漏洞中文名命名为“破壳,并于25日一早将此漏洞上报至国家相关管理部门。

据安天工程师介绍,bash应用于主流操作系统Unix、Linux、Mac OS上,甚至在Windows和移动Andriod系统上也都有应用。所以此漏洞的影响范围可以涵盖大部分的服务器,苹果PC机、甚至可能包括Andriod平台。目前的bash脚本是以通过导出环境变量的方式支持自定义函数,也可将自定义的bash函数传递给子相关进程。一般函数体内的代码是不会被执行,但此漏洞会错误的将“{}”花括号外的命令进行执行。

验证方式:

在shell中执行下面命令:

envx='() { :;}; echo Vulnerable CVE-2014-6271 ‘ bash -c “echo test”

执行命令后,如果显示VulnerableCVE-2014-6271,则证明系统存在漏洞,可改变echo VulnerableCVE-2014-6271为任意命令进行执行。

Linux Debian操作系统漏洞验证如下:

27bd733fce28716c0d0b74f9cf8f477e.png

苹果操作系统(OS X 10.10)漏洞验证如下:

afbf9336a60ec3644ec78759b8bfff16.png

“破壳”可能带来的影响在于:1,此漏洞可以绕过ForceCommand在sshd中的配置,从而执行任意命令。2,如果CGI脚本用bash或subshell编写,则使用mod_cgi或mod_cgid的Apache服务器会受到影响。3,DHCP客户端调用shell脚本来配置系统,可能存在允许任意命令执行,尤其作为根命令的形式,在DHCP客户端的机器上运行。4,各种daemon和SUID/privileged的程序都可能执行shell脚本,通过用户设置或影响环境变数值,允许任意命令运行。

安天实验室同时建议,由于此漏洞为高危漏洞,用户可以根据上述漏洞验证方法进行验证判定,如确定存在漏洞,则针对下图给出的主要漏洞影响平台及版本中的解决方案进行版本更新。

050b31544d07e5bb69f3906768ad2267.png

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/160565.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • django使用celery_django serializers

    django使用celery_django serializers前言环境celery==5.0.2在安装完celery后,运行celery会报以下错误ModuleNotFoundError:Nomodulenamed'click._bashc

  • @MapperScan注解怎么用

    @MapperScan注解怎么用早点的时间是直接在Mapper类上面添加注解@Mapper,这种方式要求每一个mapper类都需要添加此注解,比较麻烦。现在通过使用@MapperScan可以指定要扫描的Mapper类的包的路径,比如:@SpringBootApplication@MapperScan("com.lz.water.monitor.mapper")//添加对mapper包扫描publicclassApplica…

  • 列举6个常见且实用的Web前端性能优化方法[通俗易懂]

    列举6个常见且实用的Web前端性能优化方法[通俗易懂]在如今这个信息爆炸的时代,人们的节奏总是快速的,对于一个网站的耐心毕竟是有限的可怜的,如果网站不进行优化必定会流失相当一部分的客户,带来不必要的损失。那么从Web前端的性能优化上来说有哪些常见、实用的方法呢?下面小千就列举6个常见且实用的Web前端性能优化方法。1、使用CDNCDN(内容分发网络)部署在各大运营商机房,当用户通过浏览器请求资源时可以直接反馈给用户,极大的减轻了服务器数据中心的压力。本质上CDN也是一种缓存,如果你的所在地距离某个CDN节点很近,那么网站响应的速度提升也是非常明显的。另外

  • <artifactId>ojdbc8</artifactId>「建议收藏」

    spring-boot-starter-parent作用在pom.xml中引入spring-boot-start-parent,spring官方的解释叫什么staterpoms,它可以提供dependencymanagement,也就是说依赖管理,引入以后在申明其它dependency的时候就不需要version了,后面可以看到。spring-boot-starter-web作用springweb核心组件spring-boot-maven-plugin作用如果我们要直接Main启动sprin

  • 遍历map的key和value_有序的map集合

    遍历map的key和value_有序的map集合Golang map实现原理是hash map(核心元素是桶,key通过哈希算法被归入不同的bucket中),key是无序的,很多应用场景可能需要map key有序(例如交易所订单撮合),C++ 的stl map 实现了key有序,实际上是TreeMap是基于树(红黑树)的实现方式,即添加到一个有序列表,在O(log n)的复杂度内通过key值找到value,优点是空间要求低,但在时…

  • 视频识别的基础概念[通俗易懂]

    视频识别的基础概念[通俗易懂]视频识别一、视频识别几大问题2、常见的解决方案iDTTwo-StreamTSNC3DTDDRNNRPAN一、视频识别几大问题未修剪视频分类(UntrimmedVideoClassification):通过对输入的长视频进行全局分析,然后软分类到多个类别修剪视频识别(TrimmedActionRecognition):给出一段只包含一个动作的修剪视频,要求给视频分类时序行为提名(TemporalActionProposal):从长视频中找出可能含有动作的视频段时序行为定位(Tempor

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号