环境
系统版本:CentOS 6.5 x86_64
yum源:163
一、漏洞介绍
今天早上新闻,网络专家周三警告称,他们在广泛使用的Linux软件Bash中新发现了一个安全漏洞。该漏洞对电脑用户构成的威胁可能比今年4月发现的“心脏流血”(Heartbleed)漏洞更大。Bash是一款软件,被用于控制众多Linux电脑上的命令提示符。安全专家称,黑客可以利用Bash中的漏洞完全控制目标系统。
二、检测及修复方法
1、检测方法
在命令行输入以下代码,执行结果如下,则是存在该漏洞的
[root@web_us ~]# env x=‘() { :;}; echo vulnerable’ bash –c “echo this is a test”vulnerable
this is a test
2、修复方法
#centos和redhat用户可以使用更新bash命令来升级
[root@web_us ~]# yum clean all
[root@web_us ~]# yum update bash –y
#redhat官方的补丁包
https://access.redhat.com/security/cve/CVE-2014-6271
#ubuntu或debian更新系统
apt–get update
apt–get upgrade
3、重新检测
[root@web_us ~]# env x=‘() { :;}; echo vulnerable’ bash –c “echo this is a test”bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
this is a test
执行这语句,出现以上提示,就说明漏洞修复好了!
三、资料参考
1、http://www.cnbeta.com/articles/331569.htm
2、http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/57991.html