Linux Bash非常嚴重的安全漏洞修復緊急通知 - 9月25日
日前Linux官方內置Bash中新發現一個非常嚴重安全漏洞(漏洞參https://access.redhat.com/security/cve/CVE-2014-6271),嗨客可以利用該Bash漏洞完全控制目標系統并發起攻擊,為了避免您Linux服務器受影響,建議您盡快完成漏洞修補,修復方法如下,請了解!
Bash Code Injection Vulnerability (CVE-2014-6271)
(Published September 24 2014 at 5:34 PM
Red Hat Product Security has been made aware of a vulnerability affecting all versions of the bash package shipped with Red Hat Enterprise Linux. Since many of Red Hat's products run on a base installation of Red Hat Enteprise Linux, there is a risk of other products being impacted by this vulnerability as well.
The bash code injection vulnerability CVE-2014-6271 could allow for arbitrary code execution, allowing an attacker to bypass imposed environment restrictions. Certain services and applications allow remote unauthenticated attackers to exploit this vulnerability by providing environment variables. As the Bash shell is the most commonly used shell today, the risk of impact from this vulnerability if left unchecked could be severe.
To learn more about affected products, remediation steps, and testing your Bash version for vulnerabilities, see https://access.redhat.com/articles/1200223 in the Red Hat Customer Portal.
If you have questions or concerns, please contact Red Hat Technical Support.
特別提醒:目前解決辦法是Linux官方提供的解決辦法,針對此漏洞Linux官方解決辦法仍然有可能會被繞過,后續我們會提供較為徹底的解決辦法。
【已確認被成功利用的軟件及系統】
所有安裝GNU bash 版本小于或者等于4.3的Linux操作系統。
【漏洞描述】
該漏洞源于你調用的bash shell之前創建的特殊的環境變量,這些變量可以包含代碼,同時會被bash執行。
【漏洞檢測方法】
漏洞檢測命令:env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
修復前
輸出:
vulnerable
this is a test
使用修補方案修復后
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
特別提示:該修復不會有任何影響,如果您的腳本使用以上方式定義環境變量,修復后您的腳本執行會報錯。
【建議修補方案 】
請您根據Linux版本選擇您需要修復的命令, 為了防止意外情況發生,建議您執行命令前先對Linux服務器系統盤打個快照,
如果萬一出現升級影響您服務器使用情況,可以通過回滾系統盤快照解決。
centos: �
yum -y update bash
ubuntu:
14.04 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.3-7ubuntu1.1_amd64.deb && dpkg -i bash_4.3-7ubuntu1.1_amd64.deb
14.04 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.3-7ubuntu1.1_i386.deb && dpkg -i bash_4.3-7ubuntu1.1_i386.deb
12.04 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.2-2ubuntu2.2_amd64.deb && dpkg -i bash_4.2-2ubuntu2.2_amd64.deb
12.04 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.2-2ubuntu2.2_i386.deb && dpkg -i bash_4.2-2ubuntu2.2_i386.deb
10.× 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-2ubuntu3.1_amd64.deb && dpkg -i bash_4.1-2ubuntu3.1_amd64.deb
10.× 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-2ubuntu3.1_i386.deb && dpkg -i bash_4.1-2ubuntu3.1_i386.deb
debian:
7.5 64bit && 32bit
apt-get -y install --only-upgrade bash
6.0.x 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-3+deb6u1_amd64.deb && dpkg -i bash_4.1-3+deb6u1_amd64.deb
6.0.x 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-3+deb6u1_i386.deb && dpkg -i bash_4.1-3+deb6u1_i386.deb
opensuse
13.1 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash-4.2-68.4.1.x86_64.rpm && rpm -Uvh bash-4.2-68.4.1.x86_64.rpm
13.1 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash-4.2-68.4.1.i586.rpm && rpm -Uvh bash-4.2-68.4.1.i586.rpm
您好,9月25日消息,繼“心臟流血”漏洞之后,由紅帽Linux官方內置Bash中新發現一個非常嚴重的安全漏洞(漏洞參考https://access.redhat.com/security/cve/CVE-2014-6271),嗨客可以利用該Bash漏洞完全控制目標系統并發起攻擊,為了避免您Linux服務器受影響,建議您盡快完成漏洞修補,詳細修復方法如下!
【已確認被成功利用的軟件及系統】
所有安裝GNU bash 版本小于或者等于4.3的Linux操作系統。
bash版本檢測命令:bash -version
【漏洞描述】
該漏洞源于你調用的bash shell之前創建的特殊的環境變量,這些變量可以包含代碼,同時會被bash執行。
【漏洞檢測方法】
漏洞檢測命令:env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'
如果返回以下內容,則請盡快升級:
vulnerable
this is a test。
請您根據我們所提供的Linux版本選擇您需要修復的命令,為了防止意外情況發生,建議您執行命令前先對Linux服務器系統盤做好快照備份,如果出現升級影響您服務器使用情況,可以通過回滾系統盤快照解決。
【Centos升級方法】
運行yum update -y bash 進行bash版本升級
【Ubuntu升級方法】
12.04 64bit
wget http://mirrors.aliyun.com/fix_stuff/bash_4.2-2ubuntu2.2_amd64.deb && dpkg -i bash_4.2-2ubuntu2.2_amd64.deb
12.04 32bit
wget http://mirrors.aliyun.com/fix_stuff/bash_4.2-2ubuntu2.2_i386.deb && dpkg -i bash_4.2-2ubuntu2.2_i386.deb
修復漏洞后執行漏洞檢測命令,如果出現以下提示則表示升級完成:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
目前解決辦法是Linux官方提供的解決辦法,針對此漏洞Linux官方解決辦法仍然有可能會被繞過,后續我們會提供較為徹底的解決辦法。
