Linux Bash非常嚴重的安全漏洞修複緊急通知 - 9月25日
日前Linux官方内置Bash中新發現一個非常嚴重安全漏洞(漏洞參https://access.redhat.com/security/cve/CVE-2014-6271),嗨客可以利用該Bash漏洞完全控製目標係統並發起攻擊,爲瞭避免您Linux服務器受影響,建議您盡快完成漏洞修補,修複方法如下,請瞭解!
Bash Code Injection Vulnerability (CVE-2014-6271)
(Published September 24 2014 at 5:34 PM
Red Hat Product Security has been made aware of a vulnerability affecting all versions of the bash package shipped with Red Hat Enterprise Linux. Since many of Red Hat's products run on a base installation of Red Hat Enteprise Linux, there is a risk of other products being impacted by this vulnerability as well.
The bash code injection vulnerability CVE-2014-6271 could allow for arbitrary code execution, allowing an attacker to bypass imposed environment restrictions. Certain services and applications allow remote unauthenticated attackers to exploit this vulnerability by providing environment variables. As the Bash shell is the most commonly used shell today, the risk of impact from this vulnerability if left unchecked could be severe.
To learn more about affected products, remediation steps, and testing your Bash version for vulnerabilities, see https://access.redhat.com/articles/1200223 in the Red Hat Customer Portal.
If you have questions or concerns, please contact Red Hat Technical Support.
特别提醒:目前解決辦法是Linux官方提供的解決辦法,針對此漏洞Linux官方解決辦法仍然有可能會被繞過,後續我們會提供較爲徹底的解決辦法。
【已確認被成功利用的軟件及係統】
所有安裝GNU bash 版本小於或者等於4.3的Linux操作係統。
【漏洞描述】
該漏洞源於妳調用的bash shell之前創建的特殊的環境變量,這些變量可以包含代碼,同時會被bash執行。
【漏洞檢測方法】
漏洞檢測命令:env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
修複前
輸出:
vulnerable
this is a test
使用修補方案修複後
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
特别提示:該修複不會有任何影響,如果您的腳本使用以上方式定義環境變量,修複後您的腳本執行會報錯。
【建議修補方案 】
請您根據Linux版本選擇您需要修複的命令, 爲瞭防止意外情況發生,建議您執行命令前先對Linux服務器係統盤打個快照,
如果萬一出現昇級影響您服務器使用情況,可以通過回滾係統盤快照解決。
centos: �
yum -y update bash
ubuntu:
14.04 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.3-7ubuntu1.1_amd64.deb && dpkg -i bash_4.3-7ubuntu1.1_amd64.deb
14.04 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.3-7ubuntu1.1_i386.deb && dpkg -i bash_4.3-7ubuntu1.1_i386.deb
12.04 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.2-2ubuntu2.2_amd64.deb && dpkg -i bash_4.2-2ubuntu2.2_amd64.deb
12.04 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.2-2ubuntu2.2_i386.deb && dpkg -i bash_4.2-2ubuntu2.2_i386.deb
10.× 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-2ubuntu3.1_amd64.deb && dpkg -i bash_4.1-2ubuntu3.1_amd64.deb
10.× 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-2ubuntu3.1_i386.deb && dpkg -i bash_4.1-2ubuntu3.1_i386.deb
debian:
7.5 64bit && 32bit
apt-get -y install --only-upgrade bash
6.0.x 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-3+deb6u1_amd64.deb && dpkg -i bash_4.1-3+deb6u1_amd64.deb
6.0.x 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-3+deb6u1_i386.deb && dpkg -i bash_4.1-3+deb6u1_i386.deb
opensuse
13.1 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash-4.2-68.4.1.x86_64.rpm && rpm -Uvh bash-4.2-68.4.1.x86_64.rpm
13.1 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash-4.2-68.4.1.i586.rpm && rpm -Uvh bash-4.2-68.4.1.i586.rpm
您好,9月25日消息,繼“心髒流血”漏洞之後,由紅帽Linux官方内置Bash中新發現一個非常嚴重的安全漏洞(漏洞參考https://access.redhat.com/security/cve/CVE-2014-6271),嗨客可以利用該Bash漏洞完全控製目標係統並發起攻擊,爲瞭避免您Linux服務器受影響,建議您盡快完成漏洞修補,詳細修複方法如下!
【已確認被成功利用的軟件及係統】
所有安裝GNU bash 版本小於或者等於4.3的Linux操作係統。
bash版本檢測命令:bash -version
【漏洞描述】
該漏洞源於妳調用的bash shell之前創建的特殊的環境變量,這些變量可以包含代碼,同時會被bash執行。
【漏洞檢測方法】
漏洞檢測命令:env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'
如果返回以下内容,則請盡快昇級:
vulnerable
this is a test。
請您根據我們所提供的Linux版本選擇您需要修複的命令,爲瞭防止意外情況發生,建議您執行命令前先對Linux服務器係統盤做好快照備份,如果出現昇級影響您服務器使用情況,可以通過回滾係統盤快照解決。
【Centos昇級方法】
運行yum update -y bash 進行bash版本昇級
【Ubuntu昇級方法】
12.04 64bit
wget http://mirrors.aliyun.com/fix_stuff/bash_4.2-2ubuntu2.2_amd64.deb && dpkg -i bash_4.2-2ubuntu2.2_amd64.deb
12.04 32bit
wget http://mirrors.aliyun.com/fix_stuff/bash_4.2-2ubuntu2.2_i386.deb && dpkg -i bash_4.2-2ubuntu2.2_i386.deb
修複漏洞後執行漏洞檢測命令,如果出現以下提示則錶示昇級完成:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
目前解決辦法是Linux官方提供的解決辦法,針對此漏洞Linux官方解決辦法仍然有可能會被繞過,後續我們會提供較爲徹底的解決辦法。
