相關文章

7e5cc38200fad451f2535b19334a98a9 繼上次 Linux 平台全球 Heartbleed 爆出漏洞,Shell Shock 也出現了威脅不小的漏洞,美國政府的國家弱點資料庫(NVD)發表了最新的弱點通報。範圍涵蓋絕大部分的 Unix-Like 作業系統,如Linux、BSD、MAC OS X 等等。

先前的 Heartbleed 漏洞只影響 OpenSSL ,這是傳輸資料加密相關的程式有漏洞,而駭客可以藉此攻破系統。而這次的 Shell Shock 漏洞是 Linux 用戶、系統管理員常使用的 Bash ,在許多版本中都有這個遠端執行程式碼的安全性漏洞。

如果你的網頁伺服器程式中有呼叫 Bash Shell 的話,駭客能夠利用漏洞去改變其環境變數,遠端執行惡意的程式碼,取得系統資料。

下面是這個漏洞相關的示範影片:

如果你是 Linux 系統的管理者,可以測試看看用這個指令來看系統有沒有漏洞。
在 shell 中輸入

env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test"
vulnerable
this is a test

如果是「Xthis is a test」就是系統還有漏洞,需儘快更新。
如果是「bash: warning: x: ignoring function definition attempt」,就沒有關係了。

env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test"  bash: warning: x: ignoring function definition attempt  bash: error importing function definition for `x’  this is a test

這個漏洞是法國的 Stéphane Chazelas 發現,而負責維護 Bash Shell 套件的 Chet Ramey 已經推出了更新程式,把 Bash 3.0 到 Bash 4.3 的版本都做了修補。

目前各平台的發行版已經推出了各對應版本的修補套件程式,使用相關平台的人,可以趕快更新,這次的資安威脅威力不亞於上次的 Heartbleed 漏洞。

首圖來源:uscollegesearch

 

 

使用 Facebook 留言

ulyssesric
1人給推

1.  ulyssesric (發表於 2014年9月26日 10:36)
不要危言聳聽。
Bash 漏洞之所以比擬 Heartbleed,
是因為 Bash 的廣泛使用程度。
但是 Bash 漏洞基本上是屬於 local 型,
也就是說一定要在本機端執行攻擊指令才能發揮效用,
不是說駭客在遠端電腦上隨便敲敲鍵盤你的機器就會完蛋。

目前會受到 Bash 漏洞影響的,
主要還是允許多人同時登入操作的開放式主機,例如 Git,
這個漏洞可以讓攻擊者跳過登入帳號的權限限制,
執行需要管理者權限才能執行的指令。

其次會受到影響的是使用 mod_cgi 的 Apache 網頁伺服器。
如果一台主機開放使用者申請帳號架網,
同時也允許使用者使用基於 BASH 的 cgi-bin 服務,
那這台主機就很有可能被攻擊者植入惡意 cgi-bin。

一般單機使用的使用者,若是駭客有機會用到這個漏洞,
表示駭客已經站在你的電腦前面用你的鍵盤打字,
或是已經由 ssh 等遠端登入管道連線進入你的電腦了。

當然每當發現漏洞,無論如何都建議儘快補上,
但是完全不需要驚慌。
Joe Masturbater Joeresjoe
2.  Joe Masturbater Joeresjoe (發表於 2014年9月27日 16:15)
所以要鍵盤滑鼠加螢幕被遠端挾持的情況下(甚至沒網路晶片的主機上), 這個漏洞才會發生作用, 這個可能性有多大?

※ 引述《ulyssesric》的留言:
> 不要危言聳聽。
> Bash 漏洞之所以比擬 Heartbleed,
> 是因為 Bash 的廣泛使用程度。
> 但是 Bash 漏洞基本上是屬於 local 型,
> 也就是說一定要在本機端執行攻擊指令才能發揮效用,
> 不是說駭客在遠端電腦上隨便敲敲鍵盤你的機器就會完蛋。
ulyssesric
3.  ulyssesric (發表於 2014年9月28日 18:00)
※ 引述《Joe Masturbater Joeresjoe》的留言:
> 所以要鍵盤滑鼠加螢幕被遠端挾持的情況下(甚至沒網路晶片的主機上), 這個漏洞才會發生作用, 這個可能性有多大?

不是機率多大的問題,而是根本不可能發生。

攻擊者使用者這個漏洞的目的,
就是讓他能夠取得目標電腦的控制權。
但是一台個人使用的單機電腦,
當駭客能夠利用這個漏洞的時候,
他『已經』取得那台電腦的控制權了,
根本沒有再次利用這個漏洞攻擊的必要。

目前這個漏洞最大的受害者族群,
就是架設 Apache + mod_cgi,
並且使用 BASH interpreter 的網頁伺服器,
會被植入式(Injection)攻擊影響。
如果看不懂上面三行在寫什麼,
那就表示你不需要擔心。

發表回應

謹慎發言,尊重彼此。按此展開留言規則