Linux再曝安全漏洞Bash 比“心脏出血”还严重

2014年9月25日消息:一个被指比“心脏出血”还要严重的Linux安全漏洞被发现,尽管还没有发现利用该漏洞进行的攻击,但是比“心脏出血”更低的操作门槛让它比前者更加危险。

  Bash是用于控制Linux计算机命令提示符的软件。网络安全公司Trail of Bits的首席执行官丹·吉多表示:与“心脏出血”只允许黑客窥探计算机,但不会让黑客获得计算机的控制权。Bash漏洞则不一样,黑客可以利用它对目标计算机系统进行完全控制。

  更糟的是,利用Bash漏洞的方法更加简单,只要直接剪切和粘贴一行软件代码,就能取得效果。如此低的门槛可能会吸引来更多的黑客进行攻击,这也是安全专家担心的地方。

为了避免您Linux服务器受影响,建议您尽快完成漏洞修补,修复方法如下

漏洞检测命令:env x=‘() { :;}; echo vulnerable‘  bash -c "echo this is a test"

若显示:

vulnerable

this is a test   则漏洞未修复

若显示:

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for `x‘

this is a test   则漏洞已修复

漏洞修复命令:yum update bash -y

附:网上还有一条漏洞检测命令:env -i  X=‘() { (a)=>\‘ bash -c ‘echo date‘; cat echo

输出结果中见到"date"字样就修复成功了

我的服务器是centos6.5  显示如下:

[[email protected] ~]$  env x=‘() { :;}; echo vulnerable‘  bash -c "echo this is a test"

bash: warning: x: ignoring function definition attempt

bash: error importing function definition for `x‘

this is a test                                      显示结果表明我修复成功了!

[[email protected] ~]$ env -i  X=‘() { (a)=>\‘ bash -c ‘echo date‘; cat echo

bash: X: line 1: syntax error near unexpected token `=‘

bash: X: line 1: `‘

bash: error importing function definition for `X‘

Sat Sep 27 19:25:36 CST 2014                        显示结果表明我未修复成功!(因为没有出现date)

服务器已重启,那我到底是修复成功还是不成功呢???????

相关链接:http://www.linuxidc.com/Linux/2014-09/107176.htm

时间: 2024-11-07 23:51:42

Linux再曝安全漏洞Bash 比“心脏出血”还严重的相关文章

Linux再曝安全漏洞Bash危害将超心血

                         9月25日消息:一个被指比“心脏出血”还要严重的Linux安全漏洞被发现,尽管还没有发现利用该漏洞进行的攻击,但是比“心脏出血”更低的操作门槛让它比前者更加危险. Bash是用于控制Linux计算机命令提示符的软件.网络安全公司Trail of Bits的首席执行官丹·吉多表示:“与心脏出血”只允许黑客窥探计算机,但不会让黑客获得计算机的控制权.Bash漏洞则不一样,黑客可以利用它对目标计算机系统进行完全控制. 更糟的是,利用Bash漏洞的方法更

Android再曝重大漏洞!请及时更新你的系统

近期,Bluebox Labs的安全研究人员发现被称为"FakeID"的漏洞可以让恶意程序冒充合法程序.因为该漏洞导致从版本2.1到4.4的所有Android设备都会受到此漏洞的影响,故广受关注. 凭证和签章 Android应用程序在发布和安装前必须先"签章".签章应用程序要使用凭证,应用程序凭证是由受信任的凭证机构所发出的,如HTTP/SSL凭证模式.该凭证被用来确保应用程序发布后的完整性,以避免遭受攻击者篡改. Android怎么去分配这些签章呢?对于安装在设备

心血漏洞第二发?SSL v3再曝新漏洞发布预警

关于前一阵的SSL"心血"漏洞我想大家一定不会太陌生,漏洞出来之后,各家都组织人马忙东忙西.该分析的分析,该打补丁的打补丁.可悲的的是尽管补了却还是可以绕过弄得大家精疲力竭.可悲的的是尽管补了却还是可以绕过弄得大家精疲力竭. 但风波刚刚过去,我们的厂商还没来得及松口气,今天又收到了另外一则可怕的消息:"Heartbleed"又来了!不过这次,是SSL3.0版本. 根据路边社消息,99.6433%的前1000000站点均支持SSL v3.这下,真的有意思了. 来看一下

Linux 曝出重大bash安全漏洞及修复方法

日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击. 已确认被成功利用的软件及系统:所有安装GNU bash 版本小于或者等于4.3的Linux操作系统. 该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行. 漏洞检测方法: env x='() { :;}; e

OpenSSL再曝CCS注入漏洞-心伤未愈又成筛子

太戏剧了,昨晚看了佳片有约,还不错,2012版的<完美回忆>,像我这种人依然选择用电视或者去影院看电影,在没有中间插播广告的时候,体验憋尿得过程中,总是能突然有很多的想法,这是用电脑或者手机看电影所体会不到的.看完以后已经12点半了,突然想再看一遍<黑客帝国>,这下不用电脑不行了,因为电视上没得播...结果正在缓冲的时候,突然看到了旁边的小公告:"OpenSSL再爆严重安全漏洞--CCS注入",完了,电影看不成了,不是说不想看了,突然感觉自己比神还无耻,怎么人家

linux_曝出重大bash安全漏洞及修复方法

日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击. 已确认被成功利用的软件及系统:所有安装GNU bash 版本小于或者等于4.3的Linux操作系统. 该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行. 漏洞检测方法: 1 env x='() { :;};

Linux实验——缓冲区溢出漏洞实验

一.     实验描述 缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况.这一漏洞可以被恶意用户利用来改变程序的流控制,甚至执行代码的任意片段.这一漏洞的出现是由于数据缓冲器和返回地址的暂时关闭,溢出会引起返回地址被重写. 二.     实验准备 实验楼提供的是64位Ubuntu linux(系统用户名shiyanlou,密码shiyanlou),而本次实验为了方便观察汇编语句,我们需要在32位环境下作操作,因此实验之前需要做一些准备. 1.输入命令安装一些用于编译32位C程序的东

Samba再报安全漏洞

今日Samba再报重大漏洞,该漏洞目前编号为CVE-2015-0240,Samba守护进程smbd里一个为初始化的指针可被远程漏洞利用,她可以让恶意的Samba客户端发送一个特定的netlogon数据包从而获得smbd运行的权限,并且smbd的默认权限还是root超级管理员,该漏洞影响Samba 3.5以及更高的版本,目前多数的GNU/Linux发行版都会受到影响,Red Hat Security Team的漏洞分析报告已经公布. 目前临时降低风险的方案:在/etc/samba/smb.conf

Linux基础知识--Linux的文件系统和bash的基础特性

Linux基础知识--linux的文件系统和bash的基础特性 一.Linux文件系统: Linux文件系统中的文件是数据的集合,文件系统不仅包含着文件中的数据而且还有文件系统的结构,所有Linux 用户和程序看到的文件.目录.软连接及文件保护信息等都存储在其中 linux文件系统遵循FHS(Filesystem Hierarchy Standard,文件系统目录标准),多数Linux版本采用这种文件组织形式.FHS采用了树行组织文件. FHS定义了两层规范,第一层是,/目录下面的各个目录应该要