20149月24日,外媒曝光了主流操作系统中广泛存在的漏洞bash,会影响漏洞Redhat、CentOS、Ubuntu、Debian、Fedora 、Amazon Linux、OS X 10.10预计影响范围和深度可能与今年4月发现的其他平台相匹配或超过“心脏流血”(Heartbleed)漏洞。
9经过与兄弟厂商的讨论,安天实验室安全分析团队最终决定将这个漏洞命名为中文“破壳”,并于25日上午向国家有关管理部门报告了这一漏洞。
据安天工程师介绍,bash应用于主流操作系统Unix、Linux、Mac OS上,甚至在Windows和移动Andriod系统上也都有应用。所以此漏洞的影响范围可以涵盖大部分的服务器,苹果PC甚至可能包括机器Andriod平台bash脚本通过导出环境变量支持自定义函数,也可以自定义bash函数传输到子相关过程。一般来说,函数中的代码不会执行,但这个漏洞将被错误地传输到“{}”执行花括号以外的命令。
验证方式:
在shell执行以下命令:
env x= echo VulnerableCVE-2014-6271 ' bash -c "echo test"执行命令后,如果显示VulnerableCVE-2014-6271,证明系统有漏洞,可以改变echo VulnerableCVE-2014-6271执行任何命令。
1. Linux Debian操作系统漏洞验证如下:
2. 苹果操作系统(OS X 10.10)漏洞验证如下:
“破壳”可能的影响是:1,这个漏洞可以绕过ForceCommand在sshd中间配置,执行任何命令。2.如果CGI脚本用bash或subshell使用编写mod_cgi或mod_cgid的Apache三、DHCP客户端调用shell脚本配置系统时,可能会允许任何命令执行,特别是作为根命令的形式DHCP客户端的机器上运行。4,各种daemon和SUID/privileged可以执行所有程序shell允许任何命令通过用户设置或影响环境变量值来运行脚本。
安天实验室还建议,由于该漏洞是一个高风险的漏洞,用户可以根据上述漏洞验证方法进行验证和判断。如果确定存在漏洞,版本将更新下图给出的主要漏洞影响平台和版本中的解决方案。
