繼“心臟流血”漏洞之后,安全研究專家又發(fā)現(xiàn)了一個(gè)危險(xiǎn)級(jí)別為“毀滅級(jí)”(catastrophic)的漏洞,利用這個(gè)漏洞攻擊人員輕易可以部署惡意代碼。因?yàn)?nbsp;Bash 命令窗口普遍性,這個(gè)漏洞可能會(huì)影響各種不同的聯(lián)網(wǎng)設(shè)備和一些不安全的網(wǎng)站、智能家居電器以及服務(wù)器等。
安全研究員 Robert Graham 在其博客上指出,Bash漏洞的嚴(yán)重性和 Heartbleed 一樣。Heartbleed 是今年早些時(shí)候在 OpenSSL 軟件中發(fā)現(xiàn)的漏洞,OpenSSL 軟件主要用于保證客戶端和服務(wù)器連接的安全性。
雖然蘋果在 4 月份宣布 Heartbleed 沒(méi)有影響軟件或者“重要服務(wù)”,但是據(jù)悉 Heartbleed 影響了 66% 的互聯(lián)網(wǎng)。蘋果還更新 AirPort Extreme 和 Time Capsule ,以確保這兩個(gè)網(wǎng)絡(luò)服務(wù)在 Heartbleed 漏洞肆虐期間的安全。
漏洞詳情頁(yè)面:http://seclists.org/oss-sec/2014/q3/650
漏洞級(jí)別:非常嚴(yán)重
redhat官方提供漏洞詳情
A flaw was found in the way Bash evaluated certain specially crafted environment variables. An attacker could use this flaw to override or bypass environment restrictions to execute shell commands. Certain services and applications allow remote unauthenticated attackers to provide environment variables, allowing them to exploit this issue.
redhat官方提供檢測(cè)方式
運(yùn)行命令:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
如果返回以下內(nèi)容:則請(qǐng)盡快升級(jí)。
vulnerablethis is a test目前官方已經(jīng)提供了升級(jí)包請(qǐng)運(yùn)行:yum update -y bash 進(jìn)行升級(jí)處理!