Linux Bash非常严重的安全漏洞修复紧急通知 - 9月25日
日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参https://access.redhat.com/security/cve/CVE-2014-6271),嗨客可以利用该Bash漏洞完全控制目标系统并发起攻击,为了避免您Linux服务器受影响,建议您尽快完成漏洞修补,修复方法如下,请了解!
Bash Code Injection Vulnerability (CVE-2014-6271)
(Published September 24 2014 at 5:34 PM
Red Hat Product Security has been made aware of a vulnerability affecting all versions of the bash package shipped with Red Hat Enterprise Linux. Since many of Red Hat's products run on a base installation of Red Hat Enteprise Linux, there is a risk of other products being impacted by this vulnerability as well.
The bash code injection vulnerability CVE-2014-6271 could allow for arbitrary code execution, allowing an attacker to bypass imposed environment restrictions. Certain services and applications allow remote unauthenticated attackers to exploit this vulnerability by providing environment variables. As the Bash shell is the most commonly used shell today, the risk of impact from this vulnerability if left unchecked could be severe.
To learn more about affected products, remediation steps, and testing your Bash version for vulnerabilities, see https://access.redhat.com/articles/1200223 in the Red Hat Customer Portal.
If you have questions or concerns, please contact Red Hat Technical Support.
特别提醒:目前解决办法是Linux官方提供的解决办法,针对此漏洞Linux官方解决办法仍然有可能会被绕过,后续我们会提供较为彻底的解决办法。
【已确认被成功利用的软件及系统】
所有安装GNU bash 版本小于或者等于4.3的Linux操作系统。
【漏洞描述】
该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行。
【漏洞检测方法】
漏洞检测命令:env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
修复前
输出:
vulnerable
this is a test
使用修补方案修复后
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
特别提示:该修复不会有任何影响,如果您的脚本使用以上方式定义环境变量,修复后您的脚本执行会报错。
【建议修补方案 】
请您根据Linux版本选择您需要修复的命令, 为了防止意外情况发生,建议您执行命令前先对Linux服务器系统盘打个快照,
如果万一出现升级影响您服务器使用情况,可以通过回滚系统盘快照解决。
centos:
yum -y update bash
ubuntu:
14.04 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.3-7ubuntu1.1_amd64.deb && dpkg -i bash_4.3-7ubuntu1.1_amd64.deb
14.04 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.3-7ubuntu1.1_i386.deb && dpkg -i bash_4.3-7ubuntu1.1_i386.deb
12.04 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.2-2ubuntu2.2_amd64.deb && dpkg -i bash_4.2-2ubuntu2.2_amd64.deb
12.04 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.2-2ubuntu2.2_i386.deb && dpkg -i bash_4.2-2ubuntu2.2_i386.deb
10.× 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-2ubuntu3.1_amd64.deb && dpkg -i bash_4.1-2ubuntu3.1_amd64.deb
10.× 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-2ubuntu3.1_i386.deb && dpkg -i bash_4.1-2ubuntu3.1_i386.deb
debian:
7.5 64bit && 32bit
apt-get -y install --only-upgrade bash
6.0.x 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-3+deb6u1_amd64.deb && dpkg -i bash_4.1-3+deb6u1_amd64.deb
6.0.x 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash_4.1-3+deb6u1_i386.deb && dpkg -i bash_4.1-3+deb6u1_i386.deb
opensuse
13.1 64bit
wget http://donate.wx.51idc.com:8000/hotfix/bash-4.2-68.4.1.x86_64.rpm && rpm -Uvh bash-4.2-68.4.1.x86_64.rpm
13.1 32bit
wget http://donate.wx.51idc.com:8000/hotfix/bash-4.2-68.4.1.i586.rpm && rpm -Uvh bash-4.2-68.4.1.i586.rpm
您好,9月25日消息,继“心脏流血”漏洞之后,由红帽Linux官方内置Bash中新发现一个非常严重的安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271),嗨客可以利用该Bash漏洞完全控制目标系统并发起攻击,为了避免您Linux服务器受影响,建议您尽快完成漏洞修补,详细修复方法如下!
【已确认被成功利用的软件及系统】
所有安装GNU bash 版本小于或者等于4.3的Linux操作系统。
bash版本检测命令:bash -version
【漏洞描述】
该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行。
【漏洞检测方法】
漏洞检测命令:env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'
如果返回以下内容,则请尽快升级:
vulnerable
this is a test。
请您根据我们所提供的Linux版本选择您需要修复的命令,为了防止意外情况发生,建议您执行命令前先对Linux服务器系统盘做好快照备份,如果出现升级影响您服务器使用情况,可以通过回滚系统盘快照解决。
【Centos升级方法】
运行yum update -y bash 进行bash版本升级
【Ubuntu升级方法】
12.04 64bit
wget http://mirrors.aliyun.com/fix_stuff/bash_4.2-2ubuntu2.2_amd64.deb && dpkg -i bash_4.2-2ubuntu2.2_amd64.deb
12.04 32bit
wget http://mirrors.aliyun.com/fix_stuff/bash_4.2-2ubuntu2.2_i386.deb && dpkg -i bash_4.2-2ubuntu2.2_i386.deb
修复漏洞后执行漏洞检测命令,如果出现以下提示则表示升级完成:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
目前解决办法是Linux官方提供的解决办法,针对此漏洞Linux官方解决办法仍然有可能会被绕过,后续我们会提供较为彻底的解决办法。