威胁远胜“心脏出血”?国外新爆Bash高危安全漏洞

标签: 专题 漏洞 系统安全 资讯 心脏出血 | 发表时间:2014-09-25 14:30 | 作者:凌晨几度i
出处:http://www.freebuf.com

这几天Linux用户们可能不能愉快地玩耍了,红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞。其带来的威胁可能比早前披露的“心脏出血”漏洞更大更强!

[OpenSSL心脏出血漏洞全回顾]  http://www.freebuf.com/articles/network/32171.html

[如何阻止下一次心脏出血漏洞] http://www.freebuf.com/articles/network/38436.html 

(未能阻止,似乎更大来袭= =)

Bash是Linux用户广泛使用的一款用于控制命令提示符工具,这个最新被披露的bash漏洞代号为Bash bug或Shellshock。当用户正常访问时,只要shell是唤醒状态,这个漏洞就允许攻击者执行任意代码命令,简直就是为各种各样的黑客攻击敞开了大门!更糟的是,这个漏洞在企业级软件中存在好长时间了!(小编不经又想起“心脏出血”,何尝不是存在已久?!简直是厂商噩梦~)可是对每一个漏洞实例的修补是说起来容易做起来难!好在红帽公司和Fedora已经发布了漏洞补丁,但是谷歌安全研究员Tavis Ormandy在Twitter上表示,Linux系统提供商推出的补丁似乎“并不完整”,这引发了安全专家们的有一阵担忧~

最新消息,补丁白打,有人绕过:

我还会告诉你,这个漏洞还影响了苹果MAC OS X吗?但是截至目前,苹果公司还没有任何消息表明将发布漏洞修复。

某网络安全公司工程部经理Tod Beardsley也警告称,Bash漏洞的严重级别为“10”。它与“心脏出血”漏洞不同,“心脏出血”只能借助窃取用户电脑信息,而bash 漏洞允许黑客远程控制电脑,拿到系统最高权限!其方法利用就更简单了——复制/粘贴一行命令代码即可!

安全勘误员 Robert David已经将Bash漏洞与"心脏出血“做对比,发现bash 漏洞对系统安全的影响将长期存在,并且广泛影响。“软件有一个巨大的比例是以某种形式相互影响着的,我们将永远无法找出软件易受bug影响编目在哪里!"伯克利大学ICSI技术研究员也很悲观地同意Robert David的看法!他补充说道:“这bug很微妙,很邪恶,并将会伴随我们多年。”

Redhat官方提供检测方式

运行命令:  

  $ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"

如果返回如下内容,则请尽快升级。

 vulnerable
 this is a test

更多利用资料:

https://github.com/ctxis/ActiveScanPlusPlus/blob/master/activeScan%2B%2B.py

http://p2j.cn/?p=1495

(若有更多bash bug研究与利用,Freebuf后续将带来跟踪报道)

[参考信息来源 theverge & secblog,编译/FreeBuf小编凌晨几度i,转载请注明出自FreeBuf.COM]

相关 [心脏 出血 bash] 推荐:

威胁远胜“心脏出血”?国外新爆Bash高危安全漏洞

- - FreeBuf.COM
这几天Linux用户们可能不能愉快地玩耍了,红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞. 其带来的威胁可能比早前披露的“心脏出血”漏洞更大更强. [OpenSSL心脏出血漏洞全回顾]  http://www.freebuf.com/articles/network/32171.html.

高效操作Bash

- Eneri - 极限手指
我们在平常工作中大量使用linux, 而使用linux的过程中操作Bash更是非常之频繁, 所以怎样高效的操作Bash是一个非常重要的问题. 下面我结合自己的经验总结一下高效操作Bash的一些技巧. 1 快捷键 1.1 注意. 2 历史扩展 2.1 概念. 2.2 事件指示器(Event Designators).

openssl心脏出血bug的补丁修复

- - 行业应用 - ITeye博客
先到 https://www.openssl.org/source/ 这里下载 openssl-1.0.1g.tar.gz. 已有 0 人发表留言,猛击->> 这里<<-参与讨论. —软件人才免语言低担保 赴美带薪读研.

安全漏洞“心脏出血”继续 原因是“丘比特”

- - 雷锋网
虽然距离OpenSSL爆出 心脏出血漏洞(heartbleed)已过去了有一段时间,但这个漏洞的影响却远没有结束. 葡萄牙的安全研究人员发布的一份报告显示,同样的漏洞可以在WiFi传输过程中重演,攻击者可以借此对安卓设备进行攻击. 这种新型的攻击被称为“丘比特”,攻击方式与网页漏洞有所不同. 当人们通过企业路由器或者恶意路由器连接安卓设备时,攻击者利用这个可以漏洞获取设备工作内存里的信息片段,从而窃取用户的信息.

bash下利用trap捕捉信号

- Lan - 淘宝共享数据平台 tbdata.org
我在之前的文章里写了myisam读数据压缩的情况,最近决定把它用在生产环境上,所以避免不了写一个“安全”的处理脚本放在DB服务器上,这就引入了本文所讨论的话题. 我希望这个bash脚本在退出的时候做一些事情,包括:. 它启动的切到后台的job需要被杀死;. 在这个脚本里我用到了trap这个命令,关于它,你可以man一下,我这里就不啰嗦了.

处理Apache日志的Bash脚本

- guoan - 阮一峰的网络日志
去年一年,我写了将近100篇网络日志. 现在这一年结束了,我要统计"访问量排名",看看哪些文章最受欢迎. (隆重预告:本文结尾处将揭晓前5名. 以往,我用的是AWStats日志分析软件. 它可以生成很详细的报表,但是不太容易定制,得不到某些想要的信息. 所以,我就决定自己写一个Bash脚本,统计服务器的日志,顺便温习一下脚本知识.

Bash脚本15分钟进阶指导

- - 外刊IT评论网
这里的技术技巧最初是来自谷歌的“Testing on the Toilet” (TOTT). 我的所有bash脚本都以下面几句为开场白:. 这样做会避免两种常见的问题:. 引用未定义的变量(缺省值为“”). 需要注意的是,有些Linux命令的某些参数可以强制忽略发生的错误,例如“mkdir -p” 和 “rm -f”.

许多设备永远都不会修复心脏出血漏洞

- - TECH2IPO创见
本文为作者 Tom Simonite 发表在 TechnologyReview 网站上的《 Many Devices Will Never Be Patched to Fix Heartbleed Bug》一文,主要通过讲述 OpenSSL 漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新,可能永远都无法修复这一安全漏洞,看似不会造成威海,但却存在非常高的安全风险.

[转]休息五分钟,学几个bash快捷键

- 王者自由 - C++博客-首页原创精华区
停下手里活,学点一举两得的小技能,保证五分钟搞定. Ctrl-A 相当于HOME键,用于将光标定位到本行最前面. Ctrl-E 相当于End键,即将光标移动到本行末尾. Ctrl-B 相当于左箭头键,用于将光标向左移动一格. Ctrl-F 相当于右箭头键,用于将光标向右移动一格. Ctrl-D 相当于Del键,即删除光标所在处的字符.

[转]Bash Shell 快捷键的学习使用

- SotongDJ - OwnLinux.cn
大量在时候在使用 bash shell 的时候,熟悉快捷键是多么爽的一件事. 刚刚无意在 Fenng 哥的博客上看到了一篇关于 bash shell 快捷键的文章,总结得相当好.