上周传出Bash Shell壳层程式Shellshock漏洞之后,包括红帽(RedHat)及Ubuntu等Linux版本也都纷纷释出修补程式。然而随即又传出Bash Shell的新漏洞,因此业者再次释出修补程式以妥善解决Bash漏洞问题。
相关网站:红帽安全通报;Ubuntu USN-2363-1安全通报;USN-2364-1
美国国家漏洞数据库(NVD)是在9月24日发出CVE-2014-6271通报,指出4.3 版以前的GNU Bash皆存在一个漏洞,让攻击者可借由伪造环境变数远端执行任意程式码,其影响等级NVD给予最严重的10.0分。然而,由于CVE-2014-6271漏洞修补并不完整,因此NVD紧接着又在9月25日发出CVE-2014-7169通报,该通报说明,这个漏洞的存在是因为CVE-2014-6271修复并不完全。后来则又发现了CVE-2014-7186及CVE-2014-7187两个漏洞。这次红帽与Canonical二度释出的修补程式则一口气修补了上述漏洞。
红帽表示,在第一个Bash安全漏洞CVE-2014-6271被公开并修补后即有安全研究人员发现第一个修补程式没能补好另一个CVE-2014-7169漏洞,随后红帽的工程师再发现其他的CVE-2014-7186与CVE-2014-7187漏洞。这三个新漏洞皆与Bash有关,其中的CVE-2014-7169被列为重要(Important)漏洞,CVE-2014-7186与CVE-2014-7187则仅被列为中度(Moderate)漏洞,上周五红帽一口气修补了这三个漏洞。
CVE-2014-7169漏洞仍旧能以特制的环境变数把特定的字元注入各种环境中,使得骇客得以利用该漏洞来绕过环境的限制执行壳层指令。不过,根据红帽的说法,CVE-2014-7169并不像原始的CVE-2014-6271漏洞那么容易被攻击,所以不如CVE-2014-6271严重。
红帽指出,在CVE-2014-6271更新程式出炉后,外界马上就发现了CVE-2014-7169的问题,显示CVE-2014-6271的更新并不完整。因此公司决定找出根本原因,再撰写及测试修补程式,以更多的时间换取品质,比起其他先行释出的版本,红帽的修补程式以更好的方式来解决该漏洞。
红帽所释出的CVE-2014-7169、CVE-2014-7186与CVE-2014-7187更新可修补红帽Linux Server、Linux Desktop、HPC Node、Linux Workstation等产品的多个版本,红帽亦已公开修补程式供外界取用。
Canonical也为Ubuntu释出了两个安全公告修补这几个新发现的漏洞,其中Ubuntu USN-2363-1修补了CVE-2014-7169,而USN-2364-1则解决CVE-2014-7186及CVE-2014-7187问题。
Bash Shell为UNIX、Linux与Mac OS X的壳层程式,为Linux系统上最常见的公用程式,它采用命令列界面,允许使用者输入文字命令或自远端下达指令。最近被发现的Shellshock漏洞允许骇客利用功能描述嵌入恶意程式,因而可在受影响的系统上执行各种最高权限的指令。
有专家认为,与先前造成网络界大地震的Heartbleed相较,虽然尚无法评估Shellshock的危害规模,但攻击Shellshock漏洞比Heartbleed更容易。卡巴斯基实验室指出,该漏洞独特之处在于它不但很容易攻击,而且会造成广泛的影响,不仅影响网络服务器,还影响任何使用Bash的软件。
现阶段已有许多针对Shellshock的攻击程式现身,攻击的对象包括dhclient、CGI网络服务器、sshd+ForceCommand配置及Git数据库等,尚未发现已部署CVE-2014-6271修补程式的服务器遭到攻击。
有鉴于外界担心Shellshock漏洞会影响物联网(IoT)装置,红帽表示,嵌入式装置鲜少使用Bash,大部分使用诸如BusyBox等轻量级的解决方案,相关解决方案使用的是未受该漏洞影响的Ash Shell,就算会有IoT装置被Shellshock漏洞波及,也不会太普遍。 (编译/陈晓莉)
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09