码迷,mamicode.com
首页 > 系统相关 > 详细

Linux再曝安全漏洞Bash 比“心脏出血”还严重

时间:2014-09-28 12:36:02      阅读:306      评论:0      收藏:0      [点我收藏+]

标签:linux   bash   漏洞   

Linux再曝安全漏洞Bash 比“心脏出血”还严重

    2014年9月25日消息:一个被指比“心脏出血”还要严重的Linux安全漏洞被发现,尽管还没有发现利用该漏洞进行的攻击,但是比“心脏出血”更低的操作门槛让它比前者更加危险。


  Bash是用于控制Linux计算机命令提示符的软件。网络安全公司Trail of Bits的首席执行官丹·吉多表示:与“心脏出血”只允许黑客窥探计算机,但不会让黑客获得计算机的控制权。Bash漏洞则不一样,黑客可以利用它对目标计算机系统进行完全控制。


  更糟的是,利用Bash漏洞的方法更加简单,只要直接剪切和粘贴一行软件代码,就能取得效果。如此低的门槛可能会吸引来更多的黑客进行攻击,这也是安全专家担心的地方。


为了避免您Linux服务器受影响,建议您尽快完成漏洞修补,修复方法如下


漏洞检测命令:env x=‘() { :;}; echo vulnerable‘  bash -c "echo this is a test"

若显示:

vulnerable

this is a test   则漏洞未修复

若显示:

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for `x‘

this is a test   则漏洞已修复


漏洞修复命令:yum update bash -y    


附:网上还有一条漏洞检测命令:env -i  X=‘() { (a)=>\‘ bash -c ‘echo date‘; cat echo 

输出结果中见到"date"字样就修复成功了


我的服务器是centos6.5  显示如下:

[dy@web115 ~]$  env x=‘() { :;}; echo vulnerable‘  bash -c "echo this is a test"

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for `x‘

this is a test                                      显示结果表明我修复成功了!

[dy@web115 ~]$ env -i  X=‘() { (a)=>\‘ bash -c ‘echo date‘; cat echo

bash: X: line 1: syntax error near unexpected token `=‘

bash: X: line 1: `‘

bash: error importing function definition for `X‘   

Sat Sep 27 19:25:36 CST 2014                        显示结果表明我未修复成功!(因为没有出现date)


服务器已重启,那我到底是修复成功还是不成功呢???????

相关链接:http://www.linuxidc.com/Linux/2014-09/107176.htm

本文出自 “青春邓勇” 博客,请务必保留此出处http://dengyong.blog.51cto.com/8409869/1558852

Linux再曝安全漏洞Bash 比“心脏出血”还严重

标签:linux   bash   漏洞   

原文地址:http://dengyong.blog.51cto.com/8409869/1558852

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!