linux 心脏滴血漏洞,漏洞bash近日“破壳”,当心再次“心脏出血”

linux 心脏滴血漏洞,漏洞bash近日“破壳”,当心再次“心脏出血”2014年9月24日,外媒曝出一个广泛存在于主流操作系统的漏洞bash,该漏洞会影响到Redhat、CentOS、Ubuntu、Debian、Fedora、AmazonLinux、OSX10.10等平台,预计影响范围和纵深程度都可能匹敌或者超过今年4月发现的“心脏流血”(Heartbleed)漏洞。9月25日,经过与兄弟厂商的讨论,最终决定将此此漏洞中文名命名为“破壳,并于25日一早将此…

大家好,又见面了,我是你们的朋友全栈君。

2014年9月24日,外媒曝出一个广泛存在于主流操作系统的漏洞bash,该漏洞会影响到Redhat、CentOS、Ubuntu、Debian、Fedora 、Amazon Linux、OS X 10.10等平台,预计影响范围和纵深程度都可能匹敌或者超过今年4月发现的“心脏流血”(Heartbleed)漏洞。

9月25日,经过与兄弟厂商的讨论,最终决定将此此漏洞中文名命名为“破壳,并于25日一早将此漏洞上报至国家相关管理部门。

据安天工程师介绍,bash应用于主流操作系统Unix、Linux、Mac OS上,甚至在Windows和移动Andriod系统上也都有应用。所以此漏洞的影响范围可以涵盖大部分的服务器,苹果PC机、甚至可能包括Andriod平台。目前的bash脚本是以通过导出环境变量的方式支持自定义函数,也可将自定义的bash函数传递给子相关进程。一般函数体内的代码是不会被执行,但此漏洞会错误的将“{}”花括号外的命令进行执行。

验证方式:

在shell中执行下面命令:

envx='() { :;}; echo Vulnerable CVE-2014-6271 ‘ bash -c “echo test”

执行命令后,如果显示VulnerableCVE-2014-6271,则证明系统存在漏洞,可改变echo VulnerableCVE-2014-6271为任意命令进行执行。

Linux Debian操作系统漏洞验证如下:

27bd733fce28716c0d0b74f9cf8f477e.png

苹果操作系统(OS X 10.10)漏洞验证如下:

afbf9336a60ec3644ec78759b8bfff16.png

“破壳”可能带来的影响在于:1,此漏洞可以绕过ForceCommand在sshd中的配置,从而执行任意命令。2,如果CGI脚本用bash或subshell编写,则使用mod_cgi或mod_cgid的Apache服务器会受到影响。3,DHCP客户端调用shell脚本来配置系统,可能存在允许任意命令执行,尤其作为根命令的形式,在DHCP客户端的机器上运行。4,各种daemon和SUID/privileged的程序都可能执行shell脚本,通过用户设置或影响环境变数值,允许任意命令运行。

安天实验室同时建议,由于此漏洞为高危漏洞,用户可以根据上述漏洞验证方法进行验证判定,如确定存在漏洞,则针对下图给出的主要漏洞影响平台及版本中的解决方案进行版本更新。

050b31544d07e5bb69f3906768ad2267.png

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/160565.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • 我的世界怎么显示坐标_我的世界永久显示坐标

    我的世界怎么显示坐标_我的世界永久显示坐标在我的世界游戏中,坐标这个问题如果玩的很6的话能够帮助我们瞬间移动,去到任何想去的地方,这时有不少玩家不禁想问了,我的世界坐标怎么看,坐标指令又是什么呢?坐标(coordinates)在数字上反映了您在主世界中的位置。坐标基于一个由三条交于一点(即原点)的坐标轴而形成的网格。玩家会出生在距离原点数百方块的位置上。x轴反映了玩家距离原点在东()西(-)方向上的距离,如经度。z轴反映了玩家距离原点在…

  • FileInputStream的available方法

    FileInputStream的available方法available():返回与之关联的文件的字节数importjava.io.File;importjava.io.FileInputStream;importjava.io.IOException;publicclassFileInputStreamDemo2{ publicstaticvoidmain(String[]args)throwsIOE…

  • 查看linux版本内核 Linux内核版本的变化[通俗易懂]

    查看linux版本内核 Linux内核版本的变化[通俗易懂]linux内核 linux内核版本号格式     major.minor.patch-build.desc  1、major:表示主版本号,有结构性变化时才变更。  2、minor:表示次版本号,新增功能时才发生变化;一般奇数表示测试版,偶数表示生产版。  3、patch:表示对次版本的修订次数或补丁包数。  4、build:表示编译(或构建)的次数,每次编译可能

  • 将CSV的数据发送到kafka(java版)

    将CSV的数据发送到kafka(java版)

    2020年11月19日
  • linux杀死进程命令kill_linux彻底杀死进程

    linux杀死进程命令kill_linux彻底杀死进程kill-9进程名杀死进程

  • java system.out.print_java面试多久给答复

    java system.out.print_java面试多久给答复学了这么久的面向对象编程,那如何用一行代码体现呢?老师告诉我,如果你能自己读懂System.out.println(),就真正了解了Java面向对象编程的概念System.out.println(“helloworld”);helloworldProcessfinishedwithexitcode0首先分析System源码System就是Java自定义的一个类…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号