Linux現Bash漏洞 比“心臟出血”更危險

        網絡安全專家周三警告稱，開源軟件 Linux 中一個頻繁使用的片段“Bash”，最近發現存在安全漏洞，其對計算機用戶造成的威脅可能要超過今年 4 月爆出的“心臟出血”(Heartbleed)漏洞。

“Heartbleed”是開源加密軟件 OpenSSL 中的一個安全漏洞，于今年 4 月被發現。由于全球三分之二的網站使用了 OpenSSL，“Heartbleed”漏洞讓數千萬人的數據處于危險狀態。這也迫使數十家科技公司發布安全補丁，以堵塞數百種使用了 OpenSSL 的產品中存在的安全漏洞。

        Bash 是用于控制 Linux 計算機命令提示符的軟件。網絡安全專家表示，黑客可以利用 Bash 中的一個安全漏洞，對目標計算機系統進行完全控制。

        網絡安全公司 Trail of Bits 的首席執行官丹·吉多(Dan Guido)指出：“與 Heartbleed”相比，后者只允許黑客窺探計算機，但不會讓黑客獲得計算機的控制權。”

        他說：“利用 Bash 漏洞的方法也簡單得多，你可以直接剪切和粘貼一行軟件代碼，就能取得很好的效果。”

        吉多還表示，他正考慮將自己公司非必要的服務器斷網，以保護他們不會受到 Bash 漏洞的攻擊，直到他能夠修補這一漏洞為止。

        網絡安全公司 Rapid7 的工程經理托德·比爾茲利（Tod Beardsley）則警告稱，Bash 漏洞的嚴重程度被評為 10 級，意味著它具有最大的影響力，而其利用的難度被評為“低”級，意味著黑客比較容易地利用其發動網絡攻擊。

        比爾茲利稱：“利用這個漏洞，攻擊者可能會接管計算機的整個操作系統，得以訪問機密信息，并對系統進行更改等等。任何人的計算機系統，如果使用了 Bash 軟件，都需要立即打上補丁。”

        US-CERT 建議用戶和管理員重新檢查這篇紅帽的安全博客。更多的詳情只能參考相應 Linux 發行商以獲取相應補丁。

        你可以使用如下命令來檢查系統存在此漏洞：

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

<p>        受影響的系統包括：</p>

<ul>
 <li> <p><a href="/misc/goto?guid=4958849500805153950">CentOS</a></p>

</li>

 <li> <p><a href="/misc/goto?guid=4958849500900973805">Debian</a></p>

</li>

 <li> <p><a href="/misc/goto?guid=4958849500986775333">Redhat</a></p>

</li>

 <li> <p><a href="/misc/goto?guid=4958849501079499728">Ubuntu</a></p>

</li>

</ul>

<p>        紅帽系可通過更新 bash 并重啟系統來解決這個問題：</p>

<div class="cnblogs_code"> 
 <pre># yum update bash</pre> 
</div>

<p>        或者：</p>

<div class="cnblogs_code"> 
 <pre># yum update bash-<span style="color:#800080;">4.1</span>.<span style="color:#800080;">2</span>-<span style="color:#800080;">15</span>.el6_5.<span style="color:#800080;">1</span></pre> 
</div>

<p>        此舉只是更新了 bash 包，還需要重啟系統才能生效。</p>

<p>        Ubuntu 用戶可以通過如下命令打補丁，無需重啟：</p>

<div class="cnblogs_code"> 
 <pre>apt-<span style="color:#0000ff;">get</span><span style="color:#000000;"> update

apt</span>-get install bash</pre> </div>

<p>        運行以后再運行上邊的代碼會提示：</p>

<div class="cnblogs_code"> 
 <pre>bash: warning: x: ignoring function definition attemptbash: error importing function definition <span style="color:#0000ff;">for</span> `x<span style="color:#800000;">'</span><span style="color:#800000;">hello</span></pre> 
</div>

<p>        這個時候漏洞就修復好啦。</p>

                    <span id="shareA4" class="fl">                            
                        </span><p></p>

</div>

</div>