CVE-2014-6277和CVE-2014-6278终于曝光。POC:bash -c "f() { x() { _; }; x() { _; } <<a; }"漏洞的发现者Michal Zalewski给出了详细的分析,BASH社区补丁还在紧急的修复中,因为涉及backporting中的一些比较蛋疼的问题,预计UPSTREAM得到这个礼拜末才能完成修复工作。也就是说GNU/Linux发行版最早应该会在本周末或者下个礼拜才能修复,在这一段时期特别对于生产环境的服务器是比较危险的。有2个方法来降低风险:
- ASLR/PIE/NX/CANARY/RELRO加固Bash重新部署
- 保证你的机器至少使用了Florian Weimer的补丁。
Gitlab-shell 受 Bash CVE-2014-6271 漏洞影响 http://www.linuxidc.com/Linux/2014-09/107181.htmLinux再曝安全漏洞Bash 比心脏出血还严重 http://www.linuxidc.com/Linux/2014-09/107176.htm
解决办法是升级 Bash,请参考这篇文章。http://www.linuxidc.com/Linux/2014-09/107182.htmBash远程解析命令执行漏洞测试方法 http://www.linuxidc.com/Linux/2014-09/107289.htm
易网时代-编程资源站