Unix /Linux 的Bash Shell 出現重大漏洞 - MAC

By Bennie
at 2014-09-26T03:27
at 2014-09-26T03:27
Table of Contents
英文版 http://blog.erratasec.com/2014/09/bash-bug-as-big-as-heartbleed.html
中文版 http://www.ithome.com.tw/news/91107
Unix /Linux 的Bash Shell 出現重大漏洞,危險等級可能超越 Heartbleed
美國電腦緊急應變中心(US-CERT)、紅帽,及多家資安業者於週三(9/24)警告,
在UNIX平台上被廣泛使用的Bash Shell含有嚴重漏洞,該漏洞可能讓駭客遠端執行
惡意程式,影響GNU、Linux及Mac OS等基於UNIX的各種作業系統。有資安業者認為
,此一被稱為Shell Shock的漏洞影響程度可能與Heartbleed相當,甚至更甚於
Heartbleed。
Bash Shell為UNIX的殼層程式,不但是GNU作業系統的殼層程式,也是Linux及
Mac OS X的預設殼層程式,算是各種Linux版本上最常見的公用程式。它採用命令列
介面,允許使用者輸入文字命令,也可讓使用者遠端下達指令(如透過ssh或 telnet)。
此一漏洞是由法國的軟體開發人員Stéphane Chazelas所發現,負責維護Bash Shell的
Chet Ramey已經修補該漏洞,更新了自Bash 3.0至Bash 4.3的版本,各界則統一於週三
公佈該漏洞。
根據開放源碼安全郵件論壇OSS-Sec的說明,Bash不僅支援殼層變數的匯出,也可藉由程
序環境至子程序將殼層功能匯出至其他Bash實例,目前Bash的各種版本使用由功能名稱
命名的環境變數,在環境變數中是以() {為始於該環境中傳遞功能定義,此一漏洞的產
生源自於在處理功能定義後,Bash並沒有就此停住,它繼續解析與執行功能定義之後的
其他殼層命令。因此,若有駭客在功能定義後加入惡意命令,就會加重漏洞的嚴重性。
Errata Security執行長Robert Graham表示,Shell Shock漏洞可能與Heartbleed一樣
嚴重。原因之一為有大量的軟體與Bash Shell互動,如同有大量的產品使用內含
Heartbleed漏洞的OpenSSL一樣,因此根本無法估計可能受影響的軟體數量。
其次是業者可能會修補已知含有漏洞的系統,但仍有不少含有漏洞的系統被忽視,特別
是物聯網裝置,像是大部份的視訊攝影機韌體都內含Bash腳本程式,視訊攝影機韌體不
但較少被修補,同時也最可能曝露弱點。
雲端安全聯盟Jim Reavis表示,許多Linux及其他UNIX系統的程式都使用Bash來設定環
境變數,然後藉由環境變數來執行其他程式。例如執行CGI scripts的web伺服器,甚至
信箱或網頁的用戶端傳送檔案到外部程式來呈現影音或聲音檔。簡單說,這個漏洞讓攻
擊者可以遠端下達並執行任意的命令,例如在網頁請求(web request)裡設定headers
,或者是設定奇怪的MIME類型。
此外,有別於Heartbleed漏洞隻影響特定的OpenSSL版本,Shell Shock漏洞已存在很長
的一段時間,第一個受到該漏洞影響的Bash 3.0是在2004年7月釋出,這代表有許多老
舊的網路裝置皆受到該漏洞的影響。
US-CERT與各家資安業者皆督促業者儘快進行更新,目前包括CentOS、Debian、紅帽與
Ubuntu皆已釋出更新版:
GNU Bash patch
CentOS
Debian安全通告
紅帽安全通告
Ubuntu安全通告
--
這年頭程式越寫越大
DeBug工作也越來越難搞....
--
中文版 http://www.ithome.com.tw/news/91107
Unix /Linux 的Bash Shell 出現重大漏洞,危險等級可能超越 Heartbleed
美國電腦緊急應變中心(US-CERT)、紅帽,及多家資安業者於週三(9/24)警告,
在UNIX平台上被廣泛使用的Bash Shell含有嚴重漏洞,該漏洞可能讓駭客遠端執行
惡意程式,影響GNU、Linux及Mac OS等基於UNIX的各種作業系統。有資安業者認為
,此一被稱為Shell Shock的漏洞影響程度可能與Heartbleed相當,甚至更甚於
Heartbleed。
Bash Shell為UNIX的殼層程式,不但是GNU作業系統的殼層程式,也是Linux及
Mac OS X的預設殼層程式,算是各種Linux版本上最常見的公用程式。它採用命令列
介面,允許使用者輸入文字命令,也可讓使用者遠端下達指令(如透過ssh或 telnet)。
此一漏洞是由法國的軟體開發人員Stéphane Chazelas所發現,負責維護Bash Shell的
Chet Ramey已經修補該漏洞,更新了自Bash 3.0至Bash 4.3的版本,各界則統一於週三
公佈該漏洞。
根據開放源碼安全郵件論壇OSS-Sec的說明,Bash不僅支援殼層變數的匯出,也可藉由程
序環境至子程序將殼層功能匯出至其他Bash實例,目前Bash的各種版本使用由功能名稱
命名的環境變數,在環境變數中是以() {為始於該環境中傳遞功能定義,此一漏洞的產
生源自於在處理功能定義後,Bash並沒有就此停住,它繼續解析與執行功能定義之後的
其他殼層命令。因此,若有駭客在功能定義後加入惡意命令,就會加重漏洞的嚴重性。
Errata Security執行長Robert Graham表示,Shell Shock漏洞可能與Heartbleed一樣
嚴重。原因之一為有大量的軟體與Bash Shell互動,如同有大量的產品使用內含
Heartbleed漏洞的OpenSSL一樣,因此根本無法估計可能受影響的軟體數量。
其次是業者可能會修補已知含有漏洞的系統,但仍有不少含有漏洞的系統被忽視,特別
是物聯網裝置,像是大部份的視訊攝影機韌體都內含Bash腳本程式,視訊攝影機韌體不
但較少被修補,同時也最可能曝露弱點。
雲端安全聯盟Jim Reavis表示,許多Linux及其他UNIX系統的程式都使用Bash來設定環
境變數,然後藉由環境變數來執行其他程式。例如執行CGI scripts的web伺服器,甚至
信箱或網頁的用戶端傳送檔案到外部程式來呈現影音或聲音檔。簡單說,這個漏洞讓攻
擊者可以遠端下達並執行任意的命令,例如在網頁請求(web request)裡設定headers
,或者是設定奇怪的MIME類型。
此外,有別於Heartbleed漏洞隻影響特定的OpenSSL版本,Shell Shock漏洞已存在很長
的一段時間,第一個受到該漏洞影響的Bash 3.0是在2004年7月釋出,這代表有許多老
舊的網路裝置皆受到該漏洞的影響。
US-CERT與各家資安業者皆督促業者儘快進行更新,目前包括CentOS、Debian、紅帽與
Ubuntu皆已釋出更新版:
GNU Bash patch
CentOS
Debian安全通告
紅帽安全通告
Ubuntu安全通告
--
這年頭程式越寫越大
DeBug工作也越來越難搞....
--
Tags:
MAC
All Comments

By Tom
at 2014-09-29T13:08
at 2014-09-29T13:08
版本還會在...根本只能靠蘋果放安全更新...@@

By Blanche
at 2014-10-03T22:28
at 2014-10-03T22:28

By Zora
at 2014-10-05T23:21
at 2014-10-05T23:21
請不要幹在zsh裡面跑bash然後說zsh中獎這種蠢事好嗎

By Joe
at 2014-10-09T13:27
at 2014-10-09T13:27

By Frederica
at 2014-10-11T00:15
at 2014-10-11T00:15

By Todd Johnson
at 2014-10-11T13:19
at 2014-10-11T13:19

By Sandy
at 2014-10-13T15:35
at 2014-10-13T15:35
功能強體積也肥大 很多嵌入式設備根本吃不消 用都不用

By Iris
at 2014-10-14T13:36
at 2014-10-14T13:36

By Olive
at 2014-10-16T05:05
at 2014-10-16T05:05
基本上就是自己抓bash,抓patch然後apply,重編
最後取代掉原本的bash

By Yedda
at 2014-10-19T17:22
at 2014-10-19T17:22
http://bit.ly/ZfhKf0

By Madame
at 2014-10-21T19:51
at 2014-10-21T19:51

By Charlie
at 2014-10-22T23:35
at 2014-10-22T23:35

By Anonymous
at 2014-10-27T15:45
at 2014-10-27T15:45
不過OS X有不少app是用bash倒是沒錯

By Frederica
at 2014-10-30T20:35
at 2014-10-30T20:35

By Rebecca
at 2014-11-02T10:01
at 2014-11-02T10:01

By Kyle
at 2014-11-06T06:34
at 2014-11-06T06:34

By Jacob
at 2014-11-09T15:25
at 2014-11-09T15:25

By Barb Cronin
at 2014-11-12T09:00
at 2014-11-12T09:00

By Tracy
at 2014-11-14T03:31
at 2014-11-14T03:31
也就是說對方一定得拿到你tty或者你有開cgi

By Olga
at 2014-11-15T14:55
at 2014-11-15T14:55
就已經是帝王般的享受了 還bash.... XD

By Poppy
at 2014-11-20T03:18
at 2014-11-20T03:18

By Odelette
at 2014-11-20T20:02
at 2014-11-20T20:02

By Mason
at 2014-11-24T21:00
at 2014-11-24T21:00
問題如果他有權限幫你決定要跑bash的話...
除非是太閒沒事亂玩 不然直接跑指令不就好...

By Elizabeth
at 2014-11-25T15:05
at 2014-11-25T15:05
假如你沒給他跑bash的機會哪來的方法跑?

By Ivy
at 2014-11-29T12:08
at 2014-11-29T12:08

By Skylar DavisLinda
at 2014-11-29T15:43
at 2014-11-29T15:43

By Megan
at 2014-12-03T04:41
at 2014-12-03T04:41
Related Posts
mac連不上家裡wifi

By Emily
at 2014-09-25T23:51
at 2014-09-25T23:51
法雅客周年慶滿千送百 可以客製嗎?

By Rebecca
at 2014-09-25T22:26
at 2014-09-25T22:26
iphoto的人臉辨識系統

By Edwina
at 2014-09-25T21:45
at 2014-09-25T21:45
MBP顏色顯示異常

By Linda
at 2014-09-25T21:00
at 2014-09-25T21:00
spotlight功n有時會搜尋不到檔案

By Charlotte
at 2014-09-25T20:31
at 2014-09-25T20:31