2014年9月24日,外媒曝出一個廣泛存在于主流操作系統的漏洞bash,該漏洞會影響到Redhat、CentOS、Ubuntu、Debian、Fedora 、Amazon Linux、OS X 10.10等平臺,預計影響范圍和縱深程度都可能匹敵或者超過今年4月發現的“心臟流血”(Heartbleed)漏洞。
9月25日,安天實驗室安全分析團隊經過與兄弟廠商的討論,最終決定將此此漏洞中文名命名為“破殼,并于25日一早將此漏洞上報至國家相關管理部門。
據安天工程師介紹,bash應用于主流操作系統Unix、Linux、Mac OS上,甚至在Windows和移動Andriod系統上也都有應用。所以此漏洞的影響范圍可以涵蓋大部分的服務器,蘋果PC機、甚至可能包括Andriod平臺。目前的bash腳本是以通過導出環境變量的方式支持自定義函數,也可將自定義的bash函數傳遞給子相關進程。一般函數體內的代碼是不會被執行,但此漏洞會錯誤的將“{}”花括號外的命令進行執行。
驗證方式:
在shell中執行下面命令:
執行命令后,如果顯示VulnerableCVE-2014-6271,則證明系統存在漏洞,可改變echo VulnerableCVE-2014-6271為任意命令進行執行。
1. Linux Debian操作系統漏洞驗證如下:
2. 蘋果操作系統(OS X 10.10)漏洞驗證如下:
“破殼”可能帶來的影響在于:1,此漏洞可以繞過ForceCommand在sshd中的配置,從而執行任意命令。2,如果CGI腳本用bash或subshell編寫,則使用mod_cgi或mod_cgid的Apache服務器會受到影響。3,DHCP客戶端調用shell腳本來配置系統,可能存在允許任意命令執行,尤其作為根命令的形式,在DHCP客戶端的機器上運行。4,各種daemon和SUID/privileged的程序都可能執行shell腳本,通過用戶設置或影響環境變數值,允許任意命令運行。
安天實驗室同時建議,由于此漏洞為高危漏洞,用戶可以根據上述漏洞驗證方法進行驗證判定,如確定存在漏洞,則針對下圖給出的主要漏洞影響平臺及版本中的解決方案進行版本更新。
京公網安備 11010502049343號