Welcome 微信登录
编程资源 图片资源库 蚂蚁家优选 PDF转换器 软件资源

软件开发小程序制作系统集成与运维空间租用硬件开发视频监控技术咨询与支持——联系电话:0311-88999002/88999003

首页 / 操作系统 / Linux

Bash 通过特殊环境变量进行代码注入攻击

Bash 通过特殊环境变量进行代码注入攻击

Bash 或Bourne again shell,是一个类UNIX shell 脚本,可能是任何Linux系统中最常见的安装组件。从1980年诞生到现在,bash 已经从一个简单的基于终端的命令解释器演进到诸多其他的奇特用途。在Linux中,环境变量影响着系统软件。它们都是由一个名称和对名称的赋值构成。bash shell也是如此。在程序后台运行bash shell很常见。通常用于向远程用户提供一个shell(例如通过ssh,telnet),为CGI脚本提...
最新Bash漏洞修补初级方案

最新Bash漏洞修补初级方案

Bash爆出远程解析命令执行漏洞(CVE-2014-6271),波及各大Linux发行版与MacOSX系统。漏洞可以直接在Bash支持的Web CGI环境下远程执行任意命令。bash注入公开之后根据官方的文档发现,攻击者只要保持$envx="(){:;};echovulnerable"bash-c"echothisisatest"中前四个字符不改变,也就是"(){ 固定,后面的:;}中符合规定的语法就可以进行攻击测试。虽然漏洞的影响非常大,但是相比于&ls...
Bash安全漏洞严重堪比心脏出血

Bash安全漏洞严重堪比心脏出血

红帽公司发现一个名为 Shellshock(或Bash Bug)的计算机软件系统漏洞,其严重性可能不亚于在OpenSSL 软件中出现的“心脏出血”漏洞。据估计,该漏洞可能会影响5万多台电脑设备的正常运作。 研究人员在bash软件脚本中发现了shellshock漏洞。该漏洞可以通过bash跳过计算机系统内部的屏蔽机制从而远程控制几乎所有系统。因此,使用含有bash脚本的系统将使得计算机更易受漏洞攻击。 Bash的全称为Bourne...
Shellshock僵尸网络攻击美国国防部

Shellshock僵尸网络攻击美国国防部

意大利安全公司声称,攻击者已开始利用刚刚曝光的Shellshock漏洞组建僵尸网络。一个活跃着的僵尸网络叫Wopbot,它扫描互联网寻找存在漏洞的系统,其中包括美国国防部的IP地址段215.0.0.0/8。Tiger Security公司CEO Emanuele Gentili说,我们发现了一个运行在Linux服务器上的僵尸网络,它利用Bash Shellshock bug自动感染其它服务器。Wopbot对CDN服务商Akamai发动了分布式拒绝服务攻击(...
Bash Shellshock事件:CVE-2014-6271资料汇总

Bash Shellshock事件:CVE-2014-6271资料汇总

法国GNU/Linux爱好者Stéphane Chazelas于2014年9月中旬发现了著名SHELL实现BASH的一个漏洞,你可以通过构造环境变量的值来执行你想要执行的脚本代码,据报道称,这个漏洞能影响众多的运行在GNU/Linux上的会跟BASH交互的应用程序,目前已经公布POC的漏洞利用有HTTP,OpenSSH和DHCP;Shellshock比heartbleed更容易自动化的去攻击目标,漏洞本身的特性带来了最糟糕的情况就是蠕虫的产生...
Shellshock远程执行代码概念验证攻击

Shellshock远程执行代码概念验证攻击

Unix和Linux操作系统广泛使用的GNU Bourne Again Shell(Bash)发现了一个允许远程执行代码的严重安全漏洞。这一漏洞已被命名为Shellshock,被称为比Heartbleed更严重:美国国土安全部向全美各地的公共和私人部门机构发出警告;英国情报机构政府通信总部(GCHQ)向英国机构发出警告,称这个漏洞影响国家关键基础设施。安全研究人员已经演示了DHCP bash shellshock概念验证攻击。Gitlab-shell 受 ...
为什么说Bash安全漏洞会带来一场全球服务器的浩劫

为什么说Bash安全漏洞会带来一场全球服务器的浩劫

2014 年 9 月 24 日,Bash 惊爆严重安全漏洞,编号为 CVE-2014-6271,该漏洞将导致远程攻击者在受影响的系统上执行任意代码。GNU Bash 是一个为 GNU 计划编写的 Unix Shell,广泛使用在 Linux 系统内,最初的功能仅是一个简单的基于终端的命令解释器。这意味全球至少 150 万的主机将受到影响,此外Linux/Unix 世界内的安卓和苹果都难幸免。破壳漏洞(ShellShock)的严重性被定义为 10 级(最高)...
苹果iCloud安全漏洞持续发酵:又一波裸照来袭

苹果iCloud安全漏洞持续发酵:又一波裸照来袭

《每日野兽》报道,又一批名人裸照被在网上曝光,这次的受害者包括超模卡拉·迪瓦伊、著名女星安娜·肯德里克等,好莱坞女性詹妮弗·劳伦斯再次中招。《每日野兽》报道称,这些名人裸照再次出现在国外一些网站上。与以往不同的是,肯德里克的87张照片都是穿衣服的,据说这些照片似乎是私下拍摄的。此外,劳伦斯有55张新照片被曝光。除了上述名人外,其他名人受害者还包括美国奥运选手米丝蒂·梅-特雷纳、肥皂剧女星亚历山德拉&m...
Canonical解决了一个Ubuntu 14.04 LTS中的Nginx漏洞

Canonical解决了一个Ubuntu 14.04 LTS中的Nginx漏洞

用户应该更新他们的系统来修复这个漏洞!Canonical已经在安全公告中公布了这个影响到Ubuntu 14.04 LTS (Trusty Tahr)的nginx漏洞的细节。这个问题已经被确定并被修复了Ubuntu的开发者已经修复了nginx的一个小漏洞。他们解释nginx可能已经被利用来暴露网络上的敏感信息。根据安全公告,“Antoine Delignat-Lavaud和Karthikeyan Bhargavan发现nginx错误地重复使用了缓...
为何修复Shellshock漏洞像打地鼠

为何修复Shellshock漏洞像打地鼠

GNU Bourne Again Shell(bash)的Shellshock漏洞影响了广泛使用bash的Unix/Linux服务器,由于它允许远程执行代码获得与系统管理员相同的权限去控制系统而被认为破坏力超过Heartbleed。而更糟糕的是,bash官方补丁没有完全修复问题。为何修复Shellshock漏洞就像打地鼠,堵了一头另一头又冒出?Shellshock漏洞的工作原理是:攻击者可以向任何使用bash交互的系统如Web服务器、Git版本控制系统和D...
全世界绝大多数大公司已免疫 Shellshock 漏洞

全世界绝大多数大公司已免疫 Shellshock 漏洞

英国科技资讯网站 The Register 报道,根据计算机安全技术公司 CloudPassage 透露的情况,财富 1000(美国)和福布斯全球 2000(国际)排名在内的全球最主要大公司,都已经部署或正在部署针对前几天计算机行业发现的 Shellshock 漏洞的补丁。 该漏洞存在时间已达数十年之久,最近被人发现,对于较为老式的 Linux 计算机系统,以及一些较新的基于 Linux 核心的计算机系统都具有非常严重的安全隐患。 CloudPassa...
Shellshock漏洞那些事:网络安全噩梦的开始

Shellshock漏洞那些事:网络安全噩梦的开始

鉴于Linux/UNIX系统近日再次曝出危险等级超“心脏出血”的Bash漏洞——“Shellshock”,《连线》杂志周一特别刊文,介绍了该漏洞的过往与今生,并指出对于已经破损不堪的互联网而言,Shellshock或将只是一切噩梦的开始。以下为《连线》文章全文翻译内容:布莱恩·福克斯(Brian Fox)驾车从圣巴巴拉(Santa Barbara)来到了波士顿,其车后备箱...
甲骨文紧急修补Bash漏洞,四十多款产品还在排队

甲骨文紧急修补Bash漏洞,四十多款产品还在排队

Shellshock 漏洞初估影响了数十款甲骨文产品,不过甲骨文初步释出的修补程式只涵盖少数产品,目前未修补的产品数量则更多,包含Big Data Appliance、Oracle Communications系列产品、Oracle Fusion及Oracle Switch ES1-24等超过40项。甲骨文(Oracle)于上周释出更新程式,修补部份产品中有关Bash Shell的CVE-2014-7169漏洞,但仍有四十多款产品目前还未释出修补程式。相关...
<< 2881 2882 2883 2884 2885 2886 2887 2888 2889 2890 >>