https://paste.plurk.com/show/2003120/
Unix /Linux 的Bash Shell 出现重大漏洞，危险等级可能超越 Heartbleed
http://www.ithome.com.tw/news/91107
Vulnerability Summary for CVE-2014-6271
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
请参考上述资讯，并更新bash。

哇，每一台都中奖

这个应该全中枪吧 XD

我参照上面的测试方法 Ubuntu没事 Mac中奖了 xDDD

全中，arch linux / openwrt / bsd

借标题一问 现在大家都在更新吗? 我正在安装MINT 结果..现在装到语言套件下载中..469B/s..(剩余时间为 901:13)不知道是不是更新服务器的问题... Orz....

更新服务器的问题吧

五楼可以把 repo 换到台湾的高速网络中心

其实这个问题安全性影响不大，用 web 服务然后呼叫 bash程式才比较有影响。网络上夸大了问题让太多人惊恐了目前比较少人用 bash 写 cgi 了

嵌入式机器开 php 太肥大，或者admin非资工背景的时候bash cgi 就很常见，至少我就是然后不只有 bash cgi吧？

openwrt不是用busybox? 哪来中奖?至于BSD系 不一定会用/有bashanyway 这问题只有bash有 其他shell都没事所以某些系统根本没中的可能再说也要有跑bash才会出事但现在很少有服务会跑bash了总觉得上面这句好像哪里怪怪XDDD 范围好像太大啦www

嵌入式的 cgi 不大流行使用 bash script 来开发

bash都用来跑后端的cron了吧实际影响不大

我早期接触过的专案 cgi 当道时候都是使用 perl 为主有些会用 c 撰写编译成为 binary 档案方式执行使用目前我是很少看到有专案使用 bash script 当 cgi 呼叫最多只有看到 web 那边接收到相关东西之后，最后会去执行 bash script 这类间接的方式

全中:centos6-7,mint,debian7,openindiana,rhel6

嵌入式当然不流行bash script啊 bash都不想用了bash耗的资源对资源宝贵的嵌入式系统来说太过肥大了

如果把bash移掉呢？

你可以试试 应该还不至于开不了机啦(至少kernel能开XD)

需要经常修改的情况，纯C 并不是很方便的选择至于有多少人在用 bash cgi，不是已经有人发表文章了？bash 什么功能都要自已来，没有现成的 cgi lib 可用本来就不是拿来写专案的，但为什么还这么多 bash cgi ?http://ppt.cc/cXtu

shell script写cgi 某些地方确实会见到不过shell不一定用bash跑 也不是所有sh都是bash的link至于那些说有很多有bash cgi有扫到洞的不知道从列表里把同时还有heartbleed的砍掉会剩多少?反正这漏洞虽然有一定严重性 但并不是所有人都会出事

看起来只要更新了就好，最惨就是自己重编一下

不过出不出事是一回事 没真的忙翻天还是更新一下比较好至少省得哪天漏洞全串起来就惨了XD其实也不见得要自己重编啦 像debian系近期都改dash(shell script部分) 所以更新就没那么赶XD不过有用到直接指名bash的shell script就自己要小心www至于BSD/OS X这些 shell script都是用纯正sh跑更没有事XDD (虽然可能还是会出现指名bash就是...)

几个朋友测试一下，只要透过 Apache 的 mod_cgi 这类 cgi 架构方式运作，像是 cgi 程式自己本身使用 bash 所开发执行，或是 cgi 程式本身用 c 开发用到 system() 间接地呼叫 bash 来运作执行命令 ，甚至包含 perl/python用到 popen,system 函数呼叫间接地呼叫 bash 来运作执行的都会受到影响，所以可以理解安全问题颇大。不过好消息是 mod_php 下执行的 bash script 没有受到影响。只是 fastcgi 下的 php 就..........

楼上 有个小地方要修正 那些都是呼叫"sh"来执行的也就是只有在sh=bash的状况下才会出事(虽然不少distro都是如此XD