您现在的位置:天津11选五开奖结果 > 公司动态 > 安全公告:GNU Bash 漏洞公告 (CVE-2014-6271, CVE-2014-7169)

安全公告:GNU Bash 漏洞公告 (CVE-2014-6271, CVE-2014-7169)

天津11选五开奖结果 www.hm4a3.cn

发布日期:2014-09-24

CVE ID:CVE-2014-6271,CVE-2014-7169

漏洞描述:

CVE-2014-6271:

攻击者可构造特殊的环境变量值,以在这些环境变量的值中包含特定的代码,当 Shell 对这些环境变量求值时,这些特定的代码将得以在系统中执行。某些服务和应用接受未经身份者提供的环境变量,因此攻击者可利用此漏洞源于在提供这些服务和应用的系统上执行任意的 Shell 命令。

CVE-2014-7169:

因 GNU Bash 允许在环境变量的值中的函数定义,及在函数定义后加入额外的字符串,攻击者可利用此特性在远程写入文件或执行其他可以影响到系统的操作。

以上两漏洞可能会影响到使用 ForceCommand 功能的 OpenSSH sshd; 使用 mod_cgi 或 mod_cgid 的 Apache 服务器; 调用 Shell 配置系统的 DHCP 客户端; 及其他使用 bash 作为解释器的应用等。

注:
1) CVE-2014-7169 的存在是因 CVE-2014-6271 的 Patch 不完整。
2) 关于以上两漏洞的更多详情请见 [1], [2], [3]

问题诊断:

如何确定当前 bash 版本是否有漏洞

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

若输出以下内容

vulnerable
this is a test

则证明系统当前的 Bash 版本存在漏洞。

若输出如下

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

则证明当前的 Bash 已为漏洞修复版本

各系统修补方式:


centos: 
yum -y update bash 
 
ubuntu: 
14.04 64bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.3-7ubuntu1.1_amd64.deb && dpkg -i bash_4.3-7ubuntu1.1_amd64.deb 
 
14.04 32bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.3-7ubuntu1.1_i386.deb && dpkg -i  bash_4.3-7ubuntu1.1_i386.deb 
 
 
12.04 64bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.2-2ubuntu2.2_amd64.deb && dpkg -i  bash_4.2-2ubuntu2.2_amd64.deb 
 
12.04 32bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.2-2ubuntu2.2_i386.deb && dpkg -i  bash_4.2-2ubuntu2.2_i386.deb 
 
10.× 64bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.1-2ubuntu3.1_amd64.deb && dpkg -i bash_4.1-2ubuntu3.1_amd64.deb 
 
10.× 32bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.1-2ubuntu3.1_i386.deb && dpkg -i bash_4.1-2ubuntu3.1_i386.deb 
 
 
debian: 
7.5 64bit && 32bit 
apt-get -y install --only-upgrade bash 
 
6.0.x 64bit 
wget //mirrors.aliyun.com/debian/pool/main/b/bash/bash_4.1-3%2bdeb6u1_amd64.deb &&  dpkg -i bash_4.1-3+deb6u1_amd64.deb 
 
6.0.x 32bit 
wget //mirrors.aliyun.com/debian/pool/main/b/bash/bash_4.1-3%2bdeb6u1_i386.deb &&  dpkg -i bash_4.1-3+deb6u1_i386.deb 
 
opensuse: 
13.1 64bit 
wget //mirrors.aliyun.com/fix_stuff/bash-4.2-68.4.1.x86_64.rpm && rpm -Uvh bash-4.2-68.4.1.x86_64.rpm 
 
 
13.1 32bit 
wget //mirrors.aliyun.com/fix_stuff/bash-4.2-68.4.1.i586.rpm && rpm -Uvh bash-4.2-68.4.1.i586.rpm 
 
aliyun linux: 
5.x 64bit 
wget //mirrors.aliyun.com/centos/5/updates/x86_64/RPMS/bash-3.2-33.el5.1.x86_64.rpm && rpm -Uvh bash-3.2-33.el5.1.x86_64.rpm 
 
5.x 32bit 
wget //mirrors.aliyun.com/centos/5/updates/i386/RPMS/bash-3.2-33.el5.1.i386.rpm && rpm -Uvh bash-3.2-33.el5.1.i386.rpm


例如,假设你的系统当前的 Bash 版本为 3.0。则相应的 patch 可通过以下链接获得:

//ftp.gnu.org/gnu/bash/bash-3.0-patches/




【修补完成测试】
升级bash后,执行测试:
 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test


如果显示如上,表示已经修补了漏洞。


免费拨打  400-100-2938
免费拨打  400-100-2938 免费拨打 400-100-2938
天津11选五开奖结果 返回顶部
返回顶部 返回顶部
  • 陈彤:“凤凰号”和“一点号”将打通后台 2019-02-16
  • 屈原作为一个浪漫诗人的确才华横溢,值得称道,但是他反对统一就得批评。是吧小作? 2019-02-15
  • 甘肃省酒泉市:推行“一办四室一中心”工作模式 2019-02-15
  • 看着都疼的球场伤人犯规,都是冲着废人去的 2019-02-14
  • 歼—20列装空军传递了什么(强军梦) 2019-02-14
  • 解说米勒谈WE:LPL夏季赛夺冠可能性不大 2019-02-13
  • 智能音箱靠平台补贴“砍”到百元以下   2019-02-13
  • 中美男篮热身赛第二场 中国队24 2019-02-12
  • 你是哪儿农民?请说实话[微笑] 2019-02-12
  • 安徽省质监局抽查8组空气净化器产品 样品全合格 2019-02-11
  • 搂住所言延退对于企业和零活就业者或专家型科技工作者而言很恰当,可是对于公务员这一群体来说延退可能导致利益固化行政僵化,这是普罗大众不能够容忍的。 2019-02-11
  • 高清:2016环法赛落幕 弗洛姆第三次荣膺总冠军 2019-02-10
  • 女排小鬼当家大逆转德国队 安家杰带队三人发挥惊艳 2019-02-10
  • 福利!我国最大内陆淡水湖博斯腾湖风光壁纸出炉 2019-02-09
  • 【学习时刻】北大教授韩毓海:文艺工作要更加深入基层,为人民写作 2019-02-08
  • 223| 539| 800| 534| 293| 275| 99| 413| 233| 441|