APP下载

Linux大厂二度释出Shellshock漏洞的修补程式!

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息Linux大厂二度释出Shellshock漏洞的修补程式!

原先释出安全更新修补CVE-2014-6271漏洞,但并未能完全解决问题,红帽二度释出更新一口气修补了CVE-2014-7169、CVE-2014-7186与CVE-2014-7187,以彻底解决这次的Bash漏洞。

上周传出Bash Shell壳层程式Shellshock漏洞之后,包括红帽(RedHat)及Ubuntu等Linux版本也都纷纷释出修补程式。然而随即又传出Bash Shell的新漏洞,因此业者再次释出修补程式以妥善解决Bash漏洞问题。

相关网站:红帽安全通报;Ubuntu USN-2363-1安全通报;USN-2364-1

美国国家漏洞数据库(NVD)是在9月24日发出CVE-2014-6271通报,指出4.3 版以前的GNU Bash皆存在一个漏洞,让攻击者可借由伪造环境变数远端执行任意程式码,其影响等级NVD给予最严重的10.0分。然而,由于CVE-2014-6271漏洞修补并不完整,因此NVD紧接着又在9月25日发出CVE-2014-7169通报,该通报说明,这个漏洞的存在是因为CVE-2014-6271修复并不完全。后来则又发现了CVE-2014-7186及CVE-2014-7187两个漏洞。这次红帽与Canonical二度释出的修补程式则一口气修补了上述漏洞。

红帽表示,在第一个Bash安全漏洞CVE-2014-6271被公开并修补后即有安全研究人员发现第一个修补程式没能补好另一个CVE-2014-7169漏洞,随后红帽的工程师再发现其他的CVE-2014-7186与CVE-2014-7187漏洞。这三个新漏洞皆与Bash有关,其中的CVE-2014-7169被列为重要(Important)漏洞,CVE-2014-7186与CVE-2014-7187则仅被列为中度(Moderate)漏洞,上周五红帽一口气修补了这三个漏洞。

CVE-2014-7169漏洞仍旧能以特制的环境变数把特定的字元注入各种环境中,使得骇客得以利用该漏洞来绕过环境的限制执行壳层指令。不过,根据红帽的说法,CVE-2014-7169并不像原始的CVE-2014-6271漏洞那么容易被攻击,所以不如CVE-2014-6271严重。

红帽指出,在CVE-2014-6271更新程式出炉后,外界马上就发现了CVE-2014-7169的问题,显示CVE-2014-6271的更新并不完整。因此公司决定找出根本原因,再撰写及测试修补程式,以更多的时间换取品质,比起其他先行释出的版本,红帽的修补程式以更好的方式来解决该漏洞。

红帽所释出的CVE-2014-7169、CVE-2014-7186与CVE-2014-7187更新可修补红帽Linux Server、Linux Desktop、HPC Node、Linux Workstation等产品的多个版本,红帽亦已公开修补程式供外界取用。

Canonical也为Ubuntu释出了两个安全公告修补这几个新发现的漏洞,其中Ubuntu USN-2363-1修补了CVE-2014-7169,而USN-2364-1则解决CVE-2014-7186及CVE-2014-7187问题。

Bash Shell为UNIX、Linux与Mac OS X的壳层程式,为Linux系统上最常见的公用程式,它采用命令列界面,允许使用者输入文字命令或自远端下达指令。最近被发现的Shellshock漏洞允许骇客利用功能描述嵌入恶意程式,因而可在受影响的系统上执行各种最高权限的指令。

有专家认为,与先前造成网络界大地震的Heartbleed相较,虽然尚无法评估Shellshock的危害规模,但攻击Shellshock漏洞比Heartbleed更容易。卡巴斯基实验室指出,该漏洞独特之处在于它不但很容易攻击,而且会造成广泛的影响,不仅影响网络服务器,还影响任何使用Bash的软件。

现阶段已有许多针对Shellshock的攻击程式现身,攻击的对象包括dhclient、CGI网络服务器、sshd+ForceCommand配置及Git数据库等,尚未发现已部署CVE-2014-6271修补程式的服务器遭到攻击。

有鉴于外界担心Shellshock漏洞会影响物联网(IoT)装置,红帽表示,嵌入式装置鲜少使用Bash,大部分使用诸如BusyBox等轻量级的解决方案,相关解决方案使用的是未受该漏洞影响的Ash Shell,就算会有IoT装置被Shellshock漏洞波及,也不会太普遍。 (编译/陈晓莉)

 

2018-02-15 21:25:00

相关文章