Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1031419
  • 博文数量: 67
  • 博客积分: 2212
  • 博客等级: 大尉
  • 技术积分: 3956
  • 用 户 组: 普通用户
  • 注册时间: 2009-12-09 10:04
个人简介

南非蚂蚁,著名Linux专家,知名IT作家。毕业于西安电子科技大学通信工程专业,爱好计算机,毕业后从事计算机行业。曾就职于新浪网、阿里云(万网),任职系统架构师。曾出版畅销书《循序渐进Linux》、《高性能Linux服务器构建实战》作者。

文章存档

2016年(5)

2015年(4)

2014年(8)

2013年(1)

2012年(38)

2011年(8)

2009年(3)

分类: LINUX

2014-09-26 11:00:36

推荐:10年技术力作:《高性能Linux服务器构建实战Ⅱ》全网发行,附试读章节和全书实例源码下载!
今天刚刚爆出Bash安全漏洞,Bash存在一个安全的漏洞,该漏洞直接影响基于Unix的系统(如Linux、OS X 等)。该漏洞将导致远程攻击者在受影响的系统上执行任意代码。

【已确认被成功利用的软件及系统】  
所有安装GNU bash 版本小于或者等于4.3的Linux操作系统。  
 
【漏洞描述】  
该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行。

【漏洞检测方法】  
漏洞检测命令:$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test
如果显示如上,那么,很遗憾,必须立即打上安全补丁修复。


【建议修补方案 】  

特别提示:该修复不会有任何影响。

根据Linux版本选择您需要修复的命令:

centos: 
yum -y update bash 
 
ubuntu: 
14.04 64bit 
wget && dpkg -i bash_4.3-7ubuntu1.1_amd64.deb 
 
14.04 32bit 
wget && dpkg -i  bash_4.3-7ubuntu1.1_i386.deb 
 
 
12.04 64bit 
wget && dpkg -i  bash_4.2-2ubuntu2.2_amd64.deb 
 
12.04 32bit 
wget && dpkg -i  bash_4.2-2ubuntu2.2_i386.deb 
 
10.× 64bit 
wget && dpkg -i bash_4.1-2ubuntu3.1_amd64.deb 
 
10.× 32bit 
wget && dpkg -i bash_4.1-2ubuntu3.1_i386.deb 
 
 
debian: 
7.5 64bit && 32bit 
apt-get -y install --only-upgrade bash 
 
6.0.x 64bit 
wget %2bdeb6u1_amd64.deb &&  dpkg -i bash_4.1-3+deb6u1_amd64.deb 
 
6.0.x 32bit 
wget %2bdeb6u1_i386.deb &&  dpkg -i bash_4.1-3+deb6u1_i386.deb 
 
opensuse: 
13.1 64bit 
wget && rpm -Uvh bash-4.2-68.4.1.x86_64.rpm 
 
 
13.1 32bit 
wget && rpm -Uvh bash-4.2-68.4.1.i586.rpm 
 
aliyun linux: 
5.x 64bit 
wget && rpm -Uvh bash-3.2-33.el5.1.x86_64.rpm 
 
5.x 32bit 
wget && rpm -Uvh bash-3.2-33.el5.1.i386.rpm 


【修补完成测试】
升级bash后,执行测试:
 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test


如果显示如上,表示已经修补了漏洞。
阅读(8475) | 评论(5) | 转发(7) |
给主人留下些什么吧!~~

noobwatches2014-11-28 10:30:09

有道理

精仿万国手表 http://www.nbbiao.com/biao-nb-12.html
高仿万国手表批发 http://www.nbbiao.com/biao-nb-12.html

renzx1232014-09-29 16:31:57

我的也是这样的情况

subool2014-09-28 20:35:46

这个漏洞好象还没有真正的解决方案,也没有说漏洞具体是什么。

latma2014-09-28 16:20:17

更新后同上~没有错误信息

xdsnet2014-09-28 13:13:07

在Debian官方提供的升级方案中,升级后输出是只有

this is a test

而没有其他信息,包括
bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'

等两天报错。