• 分类3000+
  • 产品3000+
  • 服务3000+
  • 厂商3000+
  • 用户3000+
  • 数字化疑难问题
    大家一起去解决
教育数字化知识图谱

登录查询教育数字化知识信息

打开微信扫一扫

海贝达科技(北京)有限公司 教育数字化知识图谱

资讯

共计40265条
首页 资讯 Linux服务器Bash曝严重漏洞,黑客可随意控制网站

Linux服务器Bash曝严重漏洞,黑客可随意控制网站


漏洞概述

今日Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击。

目前互联网上已经公布了一些通过更新官方补丁的方式修复该漏洞,但截止目前官方最新发布的漏洞被发现可以被安全研究者绕过,目前尚无非常有效的直接修复方法,在此之前建议使用加速乐进行防护。

利用场景

如下业务场景中都会受此缺陷影响:

1、OpenSSH sshd使用了ForceCommand特性

ForceCommand特性用来给远程用户**受限的命令执行能力,因此使用了此特性的如git、subversion等都会受影响。

2、Apache HTTP Server使用了modcgi和mod_cgid模块;

在Apache Server启用了modcgi和mod_cgid模块时,只要CGI脚本是由bash编写,或者使用了派生的subshell都会受影响。能够产生这样的subshell的包括:

C语言的system/popen,Python的os.system/os.popen,PHP的system/exec,Perl的open/system。

验证方法

验证是否存在次漏洞的方法:

在linux中输入红色部分命令,如果可以输出当前时间,则代表存在此漏洞。

$ env -i  X='() { (a)=>\' bash -c 'echo date'; cat echo

bash: X: line 1: syntax error near unexpected token `=’

bash: X: line 1: `’

bash: error importing function definition for `X’

Wed Sep 24 14:12:49 PDT 2014

互联网上公布的一些修复方法

目前互联网上已经公布了一些通过更新官方补丁的方式修复该漏洞,但截止目前官方最新发布的漏洞被发现可以被安全研究者绕过,目前部分官方已经重新发布补丁,有些还没有,在此之前建议使用加速乐进行防护,同时建议密切关注操作系统关方更新。

CentOsS:

yum clean all

yum –enablerepo=updates install bash

Ubuntu:

apt-get update

apt-get install bash


海贝达科技(北京)有限公司 教育数字化知识图谱

微信公众号

咨询顾问

Copyright@2024 EduDigital123.COM 教育数字化知识图谱
京公网安备11011502038001 京ICP备2024042673号-3