※ 本文轉寄自 ptt.cc 更新時間: 2014-09-26 08:22:05
看板 Gossiping
作者 標題 [新聞] Unix /Linux 的Bash Shell 出現重大漏洞
時間 Fri Sep 26 01:00:38 2014
1.媒體來源:
miThome
2.完整新聞標題/內文:
Errata Security執行長表示,Shell Shock漏洞可能與Heartbleed一樣嚴重。原因之一為
有大量的軟體與Bash Shell互動,如同有大量的產品使用內含Heartbleed漏洞的OpenSSL
一樣,因此根本無法估計可能受影響的軟體數量。
有大量的軟體與Bash Shell互動,如同有大量的產品使用內含Heartbleed漏洞的OpenSSL
一樣,因此根本無法估計可能受影響的軟體數量。
美國電腦緊急應變中心(US-CERT)、紅帽,及多家資安業者於周三(9/24)警告,在
UNIX平台上被廣泛使用的Bash Shell含有嚴重漏洞,該漏洞可能讓駭客遠端執行惡意程式
,影響GNU、Linux及Mac OS等基於UNIX的各種作業系統。有資安業者認為,此一被稱為
Shell Shock的漏洞影響程度可能與Heartbleed相當,甚至更甚於Heartbleed。
參考網站: US-CERT安全通報 紅帽安全部落格說明 Akamai 說明
Bash Shell為UNIX的殼層程式,不但是GNU作業系統的殼層程式,也是Linux及Mac OS X的
預設殼層程式,算是各種Linux版本上最常見的公用程式。它採用命令列介面,允許使用
者輸入文字命令,也可讓使用者遠端下達指令(如透過ssh或 telnet)。
預設殼層程式,算是各種Linux版本上最常見的公用程式。它採用命令列介面,允許使用
者輸入文字命令,也可讓使用者遠端下達指令(如透過ssh或 telnet)。
此一漏洞是由法國的軟體開發人員Stéphane Chazelas所發現,負責維護Bash Shell的
Chet Ramey已經修補該漏洞,更新了自Bash 3.0至Bash 4.3的版本,各界則統一於周三公
布該漏洞。
根據開放源碼安全郵件論壇OSS-Sec的說明,Bash不僅支援殼層變數的匯出,也可藉由程
序環境至子程序將殼層功能匯出至其他Bash實例,目前Bash的各種版本使用由功能名稱命
名的環境變數,在環境變數中是以() {為始於該環境中傳遞功能定義,此一漏洞的產生源
自於在處理功能定義後,Bash並沒有就此停住,它繼續解析與執行功能定義之後的其他殼
層命令。因此,若有駭客在功能定義後加入惡意命令,就會加重漏洞的嚴重性。
序環境至子程序將殼層功能匯出至其他Bash實例,目前Bash的各種版本使用由功能名稱命
名的環境變數,在環境變數中是以() {為始於該環境中傳遞功能定義,此一漏洞的產生源
自於在處理功能定義後,Bash並沒有就此停住,它繼續解析與執行功能定義之後的其他殼
層命令。因此,若有駭客在功能定義後加入惡意命令,就會加重漏洞的嚴重性。
Errata Security執行長Robert Graham表示,Shell Shock漏洞可能與Heartbleed一樣嚴
重。原因之一為有大量的軟體與Bash Shell互動,如同有大量的產品使用內含Heartbleed
漏洞的OpenSSL一樣,因此根本無法估計可能受影響的軟體數量。
重。原因之一為有大量的軟體與Bash Shell互動,如同有大量的產品使用內含Heartbleed
漏洞的OpenSSL一樣,因此根本無法估計可能受影響的軟體數量。
其次是業者可能會修補已知含有漏洞的系統,但仍有不少含有漏洞的系統被忽視,特別是
物聯網裝置,像是大部份的視訊攝影機韌體都內含Bash腳本程式,視訊攝影機韌體不但較
少被修補,同時也最可能曝露弱點。
物聯網裝置,像是大部份的視訊攝影機韌體都內含Bash腳本程式,視訊攝影機韌體不但較
少被修補,同時也最可能曝露弱點。
雲端安全聯盟Jim Reavis表示,許多Linux及其他UNIX系統的程式都使用Bash來設定環境
變數,然後藉由環境變數來執行其他程式。例如執行CGI scripts的web伺服器,甚至信箱
或網頁的用戶端傳送檔案到外部程式來呈現影音或聲音檔。簡單說,這個漏洞讓攻擊者可
以遠端下達並執行任意的命令,例如在網頁請求(web request)裡設定headers,或者是
設定奇怪的MIME類型。
變數,然後藉由環境變數來執行其他程式。例如執行CGI scripts的web伺服器,甚至信箱
或網頁的用戶端傳送檔案到外部程式來呈現影音或聲音檔。簡單說,這個漏洞讓攻擊者可
以遠端下達並執行任意的命令,例如在網頁請求(web request)裡設定headers,或者是
設定奇怪的MIME類型。
此外,有別於Heartbleed漏洞只影響特定的OpenSSL版本,Shell Shock漏洞已存在很長的
一段時間,第一個受到該漏洞影響的Bash 3.0是在2004年7月釋出,這代表有許多老舊的
網路裝置皆受到該漏洞的影響。
一段時間,第一個受到該漏洞影響的Bash 3.0是在2004年7月釋出,這代表有許多老舊的
網路裝置皆受到該漏洞的影響。
US-CERT與各家資安業者皆督促業者儘快進行更新,目前包括CentOS、Debian、紅帽與
Ubuntu皆已釋出更新版:
GNU Bash patch
CentOS
Debian安全通告
紅帽安全通告
Ubuntu安全通告
(編譯/陳曉莉)
更新啟事:
本文原本將Shell翻譯為「介面」並不洽當。內文已修改為「殼層」。
3.新聞連結:
http://www.ithome.com.tw/news/91107
Unix /Linux 的Bash Shell 出現重大漏洞,危險等級可能超越 Heartbleed | iThome
![[圖]]()
Errata Security執行長表示,Shell Shock漏洞可能與Heartbleed一樣嚴重。原因之一為有大量的軟體與Bash Shell互動,如同有大量的產品使用內含Heartbleed漏洞的OpenSSL一樣,因此根本無法估計可能受影響的軟體數量。 ...
![[圖]](http://d3tfy4hr89jjx0.cloudfront.net/sites/default/files/field/image/Bash_shell.jpg)
4.備註:
MIS有得加班摟
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.171.60.101
※ 文章網址: http://www.ptt.cc/bbs/Gossiping/M.1411664442.A.769.html
推 : 3C宅可以解釋嘛?1F 09/26 01:02
→ : shell翻成殼層沒人看的懂啦...2F 09/26 01:02
個人認為Shell翻成殼層應該比較好理解吧比較常見一些
※ 編輯: qxxrbull (1.171.60.101), 09/26/2014 01:05:02
→ : 還好我都用kkman3F 09/26 01:02
推 : 跟本不要翻譯直接寫shell就好4F 09/26 01:02
推 : 果蠅: OSX最安全惹 這一定是軟軟在造謠5F 09/26 01:03
推 : what the fuck!!!!!!!!!!!6F 09/26 01:05
推 : 學校好像今天全升了7F 09/26 01:05
→ : 這根本超過heartbleed了吧8F 09/26 01:05
絕對超過阿hertbleed要修還比較簡單
※ 編輯: qxxrbull (1.171.60.101), 09/26/2014 01:07:37
→ : 還好公司用Windows Server9F 09/26 01:06
Windows Server不是不報 只是時候未到→ : 殼層什麼鬼.....10F 09/26 01:06
※ 編輯: qxxrbull (1.171.60.101), 09/26/2014 01:08:31
推 : 阿婆到現在好像也沒更新11F 09/26 01:07
推 : 哥的機器全中啊 幹幹幹!12F 09/26 01:08
推 : 不是不更新 是不敢更新 更新完若Server服務開不起來GG13F 09/26 01:09
→ : 翻成殼層不就一堆 c殼層 tc殼層 ba殼層 之類的鬼玩意14F 09/26 01:09
→ : 用unix-like的網站會出現像SynoLocker勒索災情嗎?15F 09/26 01:10
推 : 哇 死定了 這根本躲不掉16F 09/26 01:11
→ yoyodiy …
→ : me friend現在用的Bash版本不能講18F 09/26 01:11
→ : 真開心哦 免費的最貴 ♥ 19F 09/26 01:12
推 : GGGGGGGGGGGGGGGGG unix全中標20F 09/26 01:14
hertbleed還只有Open SSL特定版本有問題這次影響的範圍更大 而且有些東西要更新不是那麼容易
至於Windows server
個人是不太認為封閉的會比較安全就是
※ 編輯: qxxrbull (1.171.60.101), 09/26/2014 01:29:22
→ : bash有後門讓unix-like系統的推廣真的是一巴掌21F 09/26 01:23
推 : 這也不算後門啦 就是一個漏洞而已22F 09/26 01:25
→ : 只是bash大家都用得超爽的 又常用在嵌入式的韌體裡
→ : 更新起來又廣又雜 有些根本一出廠就很難更新了
→ : 只是bash大家都用得超爽的 又常用在嵌入式的韌體裡
→ : 更新起來又廣又雜 有些根本一出廠就很難更新了
推 : 不要說就好了 ZZZ25F 09/26 01:27
→ : 用包的,別人根本沒辦法動你shell26F 09/26 01:28
→ : 要是真的被動到shell也是整個被打穿了
→ : 除非你都沒包,直接可以給人家access到
→ : 要是真的被動到shell也是整個被打穿了
→ : 除非你都沒包,直接可以給人家access到
→ : 應該沒人有那個心臟完全沒包就燒進去出貨的吧...29F 09/26 01:31
推 : 什麼鬼殼層...30F 09/26 01:34
→ : 我的包起來指的是server/VM包在後端的意思31F 09/26 01:38
推 : 殼層發生異狀,正常能量釋放32F 09/26 03:39
推 : 知道shell在幹嘛的...通常都直接讀shell吧33F 09/26 05:26
推 : 看到前面為了翻譯的討論 感到現在人都不重視科技中34F 09/26 08:03
→ : 文化了
→ : 文化了
--
※ 看板: K_hot 文章推薦值: 0 目前人氣: 0 累積人氣: 103
作者 qxxrbull 的最新發文:
- 25F 5推
- 37F 12推 2噓
- 43F 20推 3噓
- 45F 16推
![]()
中國7月份PPI同比下降0.8%,環比下降0.2% 中國7月CPI同比增長0.5%,預期增長0.3%,前值增長0.2%。 來源 : 中國國家統計局 Sent from JPTT on my OneP …98F 38推 5噓
點此顯示更多發文記錄
回列表(←)
分享