對于這個迅速吞沒安全社區的Bourne-again shell(Bash)中的“Shellshock”漏洞,已經打了補丁的IT專業人士可能認為他們不需要擔心這個漏洞了。然而,研究人員又發現了原來被 忽視的問題,并發布了新的補丁,IT專業人士需要重新再更新系統。
Bash漏洞(CVE-2014-6271)一經發布就引起了廣泛關注,因為這個shell可以處理特制的環境變量,即其擁有在最后附加額外的惡意代碼的 功能。在通用安全漏洞評分系統(CVSS),該漏洞被評為10.0,它影響著世界各地數以百萬計的Linux系統,甚至讓人們將其與臭名昭著的Heartbleed OpenSSL漏洞作比較。
在該漏洞曝光后,Bash的項目管理者迅速發布了一個補丁;Red Hat等供應商隨后更新了其產品,而這之后,研究人員發現了避開這個補丁的潛在方法。谷歌安全研究人員Tavis Ormandy是最早在Twitter上呼吁人們關注這個尚有缺陷的補丁的人之一。
對于我來說,這個bash補丁似乎不完全,函數解析依然脆弱,例如$ env X=' { (a)=>' sh -c "echo date"; cat echo
——Tavis Ormandy (@taviso)
Ormandy的發現讓我們看到了新發現的問題(CVE=2014-7169),并導致隨后發布第二次補丁,但這兩個補丁都沒有完全修復曝光的shell 解析功能。在OSS-SEC郵件列表討論了這些問題后,研究人員上周末發現了Bash中兩個未指明的漏洞,被標記為CVE-2014-7186和CVE- 2014-7187,不過這些漏洞的嚴重程度尚不清楚。
另一位谷歌安全研究人員Micha Zalewski在其博客中表示他在周末還發現另一對Bash漏洞:CVE-2014-6277和CVE-2014-6278。雖然CVE- 2014-6277是解析問題,最有可能被遠程利用,Zalewski表示,他認為CVE-2014-6278可能是自Shellshock曝光以來發現 的“最嚴重的問題”。
CVE-2014-6278本質上允許“在已經修復第一個補丁的系統上執行非常簡單和直接的遠程代碼,”Zalewski在其博客中指出,他計劃將陸續公布關于漏洞的更多細節信息,“這是‘把你的命令放在這里’類型的漏洞,類似于原來報告中所描述的那樣。”
基于Zalewski的發現,Red Hat公司產品安全研究人員Florian Weimer發布了非官方的Bash補丁,據稱該補丁解決了上周所有已報道的Bash安全漏洞。Weimer的補丁隨后被項目管理者Chet Ramey采用,作為周六發布的Bash 4.3官方補丁的一部分。
在這個新補丁發布之際,業內一些大公司已經努力在各種產品中修復Bash。甲骨文公司發布的安全警報證實該供應商的幾十款產品受到最初Shellshock漏洞以及最新的CVE-2014-7169的影響,但該公司沒有說明客戶何時會得到永久性修復。
思科為使用包含易受攻擊版本Bash的產品的客戶提供了軟件更新,但隨后的發現讓我們還不清楚這些補丁是否最終被證明是暫時的。
Zalewski表示:“在這一點上,我非常強烈地建議手動部署Florian的補丁,除非你的發行版已經發貨了。”
京公網安備 11010502049343號