1.媒体来源:
miThome
2.完整新闻标题/内文:
Errata Security执行长表示,Shell Shock漏洞可能与Heartbleed一样严重。原因之一为
有大量的软件与Bash Shell互动,如同有大量的产品使用内含Heartbleed漏洞的OpenSSL
一样,因此根本无法估计可能受影响的软件数量。
美国电脑紧急应变中心(US-CERT)、红帽,及多家资安业者于周三(9/24)警告,在
UNIX平台上被广泛使用的Bash Shell含有严重漏洞,该漏洞可能让骇客远端执行恶意程式
,影响GNU、Linux及Mac OS等基于UNIX的各种作业系统。有资安业者认为,此一被称为
Shell Shock的漏洞影响程度可能与Heartbleed相当,甚至更甚于Heartbleed。
参考网站: US-CERT安全通报 红帽安全部落格说明 Akamai 说明
Bash Shell为UNIX的壳层程式,不但是GNU作业系统的壳层程式,也是Linux及Mac OS X的
默认壳层程式,算是各种Linux版本上最常见的公用程式。它采用命令列接口,允许使用
者输入文字命令,也可让使用者远端下达指令(如透过ssh或 telnet)。
此一漏洞是由法国的软件开发人员Stéphane Chazelas所发现,负责维护Bash Shell的
Chet Ramey已经修补该漏洞,更新了自Bash 3.0至Bash 4.3的版本,各界则统一于周三公
布该漏洞。
根据开放源码安全邮件论坛OSS-Sec的说明,Bash不仅支援壳层变量的汇出,也可借由程
序环境至子程序将壳层功能汇出至其他Bash实例,目前Bash的各种版本使用由功能名称命
名的环境变量,在环境变量中是以() {为始于该环境中传递功能定义,此一漏洞的产生源
自于在处理功能定义后,Bash并没有就此停住,它继续解析与执行功能定义之后的其他壳
层命令。因此,若有骇客在功能定义后加入恶意命令,就会加重漏洞的严重性。
Errata Security执行长Robert Graham表示,Shell Shock漏洞可能与Heartbleed一样严
重。原因之一为有大量的软件与Bash Shell互动,如同有大量的产品使用内含Heartbleed
漏洞的OpenSSL一样,因此根本无法估计可能受影响的软件数量。
其次是业者可能会修补已知含有漏洞的系统,但仍有不少含有漏洞的系统被忽视,特别是
物联网装置,像是大部份的视讯摄影机韧体都内含Bash脚本程式,视讯摄影机韧体不但较
少被修补,同时也最可能曝露弱点。
云端安全联盟Jim Reavis表示,许多Linux及其他UNIX系统的程式都使用Bash来设定环境
变量,然后借由环境变量来执行其他程式。例如执行CGI scripts的web服务器,甚至信箱
或网页的用户端传送档案到外部程式来呈现影音或声音档。简单说,这个漏洞让攻击者可
以远端下达并执行任意的命令,例如在网页请求(web request)里设定headers,或者是
设定奇怪的MIME类型。
此外,有别于Heartbleed漏洞只影响特定的OpenSSL版本,Shell Shock漏洞已存在很长的
一段时间,第一个受到该漏洞影响的Bash 3.0是在2004年7月释出,这代表有许多老旧的
网络装置皆受到该漏洞的影响。
US-CERT与各家资安业者皆督促业者尽快进行更新,目前包括CentOS、Debian、红帽与
Ubuntu皆已释出更新版:
GNU Bash patch
CentOS
Debian安全通告
红帽安全通告
Ubuntu安全通告
(编译/陈晓莉)
更新启事:
本文原本将Shell翻译为“接口”并不洽当。内文已修改为“壳层”。
3.新闻连结:
http://www.ithome.com.tw/news/91107
4.备注:
MIS有得加班搂