已发现Bash shell(这是大多数类似UNIX的操作系统的主要组成部分)的严重安全问题,对全世界的计算机安全都有重大影响。
此问题在所有版本中都存在的Bash脚本语言(最高版本为4.3)会影响大多数Linux机器以及运行OS X的整个计算机。并且可以看到攻击者利用此问题来启动自己的代码。
好奇它如何运作以及如何保护自己?继续阅读以获取更多信息。
什么是Bash?
Bash(代表Bourne Again Shell)是除OS之外在大多数Linux和BSD发行版中使用的默认命令行解释器。 X。它用作启动程序,使用系统实用程序并通过启动命令与基础操作系统进行交互的方法。
此外,Bash(和大多数Unix shell)允许在以下脚本中编写UNIX函数的脚本:小脚本。与大多数编程语言(例如Python,JavaScript和CoffeeScript)类似,Bash支持大多数编程语言的常用功能,例如函数,变量和范围。
Bash几乎无处不在,许多人使用术语“ Bash"指所有命令行界面,无论它们是否实际使用Bash Shell。而且,如果您曾经通过命令行安装WordPress或Ghost,则很有可能使用过Bash。
它无处不在。
剖析攻击事件
由法国安全研究员StéphaneChazleas发现的漏洞已引起全球Linux和Mac用户的严重恐慌。 ,并引起了技术媒体的关注。同样有充分的理由,因为Shellshock可能会看到攻击者获得对特权系统的访问权并执行自己的恶意代码。太讨厌了。
但是它如何工作?在最低的级别上,它利用环境变量的工作方式。类似UNIX的系统和Windows都使用这些值来存储计算机正常运行所需的值。这些在系统上全局可用,并且可以存储单个值(例如文件夹或数字的位置)或函数。
功能是软件开发中的一种概念。但是他们怎么办?简而言之,它们捆绑了一组指令(用代码行表示),以后可以由另一个程序或用户执行。
Bash解释器的问题在于它如何处理存储函数作为环境变量。在Bash中,在函数中找到的代码存储在一对花括号之间。但是,如果攻击者在花括号之外留下了一些Bash代码,则该代码将由系统执行。这使系统对称为代码注入攻击的一系列攻击敞开了大门。
研究人员已经通过利用Apache Web服务器之类的软件与Shell交互以及使用环境的方式,发现了潜在的攻击媒介。变量。
该bash错误很严重(https://t.co/60kPlziiVv)@ortegaalfredo在受攻击的网站http://t.co/7JDCvZVU3S上获得反向shell
-克里斯·威廉姆斯(@diodesign)2014年9月24日
CVE-2014-6271:wget -U“(){test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test
— Hernan Ochoa(@hernano)2014年9月24日
如何对其进行测试?
好奇地看看您的系统是否脆弱吗?查找很容易。只需打开一个终端,然后输入:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test”如果您的系统易受攻击,它将输出:
vulnerable this is a test一个不受影响的系统将输出:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test" bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test在发布之时,该漏洞(已于2014年9月24日发现)已得到修复和修补。您只需要更新您的系统。尽管Ubuntu和Ubuntu变体使用Dash作为其主外壳,但Bash仍用于某些系统功能。因此,建议您进行更新。为此,请键入:
sudo apt-get updatesudo apt-get upgrade在Fedora和其他Red Hat变体上,请键入:
sudo yum updateApple尚未为此发布安全修复程序,尽管如果这样做,他们会通过应用商店发布。确保您定期检查安全更新。
Chromebook –使用Linux作为基础,并且可以运行大多数发行版而不必大惊小怪–将Bash用于某些系统功能,将Dash作为其主要外壳。 Google应该在适当的季节进行更新。
如果您的发行版尚未修复Bash,该怎么办
如果您的发行版尚未发布Bash的修复程序,您可能想要
I’d recommend beginners check out Fish Shell. This comes with a number of features that aren’t currently available in Bash and make it even more pleasant to work with Linux. These include autosuggestions, vibrant VGA colors and the ability to configure it from a web interface.
PCPC.me的作者Andrew Bolster还建议您检查zSH,它与Git版本控制系统紧密集成,并且具有自动完成功能。
@matthewhughes zsh,因为更好的自动完成功能和git集成
— Andrew Bolster(@Bolster)2014年9月25日
最可怕的Linux漏洞了吗?
Shellshock已被武器化。在漏洞被披露给世界各地的一天之内,它已经被广泛用于破坏系统。更令人担忧的是,不仅家庭用户和企业受到了攻击。安全专家预测,该漏洞还将使军事和政府系统面临风险。
圣牛,CVE-2014-6271将拥有许多.mil和.gov网站。
— Kenn怀特(@kennwhite)2014年9月24日
所以,请。更新您的系统,好吗?让我知道你的生活,以及对这件作品的想法。注释框在下面。
标签:
