英文版 http://blog.erratasec.com/2014/09/bash-bug-as-big-as-heartbleed.html
中文版 http://www.ithome.com.tw/news/91107
Unix /Linux 的Bash Shell 出现重大漏洞,危险等级可能超越 Heartbleed
美国电脑紧急应变中心(US-CERT)、红帽,及多家资安业者于周三(9/24)警告,
在UNIX平台上被广泛使用的Bash Shell含有严重漏洞,该漏洞可能让骇客远端执行
恶意程式,影响GNU、Linux及Mac OS等基于UNIX的各种作业系统。有资安业者认为
,此一被称为Shell Shock的漏洞影响程度可能与Heartbleed相当,甚至更甚于
Heartbleed。
Bash Shell为UNIX的壳层程式,不但是GNU作业系统的壳层程式,也是Linux及
Mac OS X的默认壳层程式,算是各种Linux版本上最常见的公用程式。它采用命令列
接口,允许使用者输入文字命令,也可让使用者远端下达指令(如透过ssh或 telnet)。
此一漏洞是由法国的软件开发人员Stéphane Chazelas所发现,负责维护Bash Shell的
Chet Ramey已经修补该漏洞,更新了自Bash 3.0至Bash 4.3的版本,各界则统一于周三
公布该漏洞。
根据开放源码安全邮件论坛OSS-Sec的说明,Bash不仅支援壳层变量的汇出,也可借由程
序环境至子程序将壳层功能汇出至其他Bash实例,目前Bash的各种版本使用由功能名称
命名的环境变量,在环境变量中是以() {为始于该环境中传递功能定义,此一漏洞的产
生源自于在处理功能定义后,Bash并没有就此停住,它继续解析与执行功能定义之后的
其他壳层命令。因此,若有骇客在功能定义后加入恶意命令,就会加重漏洞的严重性。
Errata Security执行长Robert Graham表示,Shell Shock漏洞可能与Heartbleed一样
严重。原因之一为有大量的软件与Bash Shell互动,如同有大量的产品使用内含
Heartbleed漏洞的OpenSSL一样,因此根本无法估计可能受影响的软件数量。
其次是业者可能会修补已知含有漏洞的系统,但仍有不少含有漏洞的系统被忽视,特别
是物联网装置,像是大部份的视讯摄影机韧体都内含Bash脚本程式,视讯摄影机韧体不
但较少被修补,同时也最可能曝露弱点。
云端安全联盟Jim Reavis表示,许多Linux及其他UNIX系统的程式都使用Bash来设定环
境变量,然后借由环境变量来执行其他程式。例如执行CGI scripts的web服务器,甚至
信箱或网页的用户端传送档案到外部程式来呈现影音或声音档。简单说,这个漏洞让攻
击者可以远端下达并执行任意的命令,例如在网页请求(web request)里设定headers
,或者是设定奇怪的MIME类型。
此外,有别于Heartbleed漏洞只影响特定的OpenSSL版本,Shell Shock漏洞已存在很长
的一段时间,第一个受到该漏洞影响的Bash 3.0是在2004年7月释出,这代表有许多老
旧的网络装置皆受到该漏洞的影响。
US-CERT与各家资安业者皆督促业者尽快进行更新,目前包括CentOS、Debian、红帽与
Ubuntu皆已释出更新版:
GNU Bash patch
CentOS
Debian安全通告
红帽安全通告
Ubuntu安全通告