您现在的位置:天津11选五开奖结果 > 公司动态 > 安全公告:GNU Bash 漏洞公告 (CVE-2014-6271, CVE-2014-7169)

安全公告:GNU Bash 漏洞公告 (CVE-2014-6271, CVE-2014-7169)

天津11选五开奖结果 www.hm4a3.cn

发布日期:2014-09-24

CVE ID:CVE-2014-6271,CVE-2014-7169

漏洞描述:

CVE-2014-6271:

攻击者可构造特殊的环境变量值,以在这些环境变量的值中包含特定的代码,当 Shell 对这些环境变量求值时,这些特定的代码将得以在系统中执行。某些服务和应用接受未经身份者提供的环境变量,因此攻击者可利用此漏洞源于在提供这些服务和应用的系统上执行任意的 Shell 命令。

CVE-2014-7169:

因 GNU Bash 允许在环境变量的值中的函数定义,及在函数定义后加入额外的字符串,攻击者可利用此特性在远程写入文件或执行其他可以影响到系统的操作。

以上两漏洞可能会影响到使用 ForceCommand 功能的 OpenSSH sshd; 使用 mod_cgi 或 mod_cgid 的 Apache 服务器; 调用 Shell 配置系统的 DHCP 客户端; 及其他使用 bash 作为解释器的应用等。

注:
1) CVE-2014-7169 的存在是因 CVE-2014-6271 的 Patch 不完整。
2) 关于以上两漏洞的更多详情请见 [1], [2], [3]

问题诊断:

如何确定当前 bash 版本是否有漏洞

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

若输出以下内容

vulnerable
this is a test

则证明系统当前的 Bash 版本存在漏洞。

若输出如下

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

则证明当前的 Bash 已为漏洞修复版本

各系统修补方式:


centos: 
yum -y update bash 
 
ubuntu: 
14.04 64bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.3-7ubuntu1.1_amd64.deb && dpkg -i bash_4.3-7ubuntu1.1_amd64.deb 
 
14.04 32bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.3-7ubuntu1.1_i386.deb && dpkg -i  bash_4.3-7ubuntu1.1_i386.deb 
 
 
12.04 64bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.2-2ubuntu2.2_amd64.deb && dpkg -i  bash_4.2-2ubuntu2.2_amd64.deb 
 
12.04 32bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.2-2ubuntu2.2_i386.deb && dpkg -i  bash_4.2-2ubuntu2.2_i386.deb 
 
10.× 64bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.1-2ubuntu3.1_amd64.deb && dpkg -i bash_4.1-2ubuntu3.1_amd64.deb 
 
10.× 32bit 
wget //mirrors.aliyun.com/fix_stuff/bash_4.1-2ubuntu3.1_i386.deb && dpkg -i bash_4.1-2ubuntu3.1_i386.deb 
 
 
debian: 
7.5 64bit && 32bit 
apt-get -y install --only-upgrade bash 
 
6.0.x 64bit 
wget //mirrors.aliyun.com/debian/pool/main/b/bash/bash_4.1-3%2bdeb6u1_amd64.deb &&  dpkg -i bash_4.1-3+deb6u1_amd64.deb 
 
6.0.x 32bit 
wget //mirrors.aliyun.com/debian/pool/main/b/bash/bash_4.1-3%2bdeb6u1_i386.deb &&  dpkg -i bash_4.1-3+deb6u1_i386.deb 
 
opensuse: 
13.1 64bit 
wget //mirrors.aliyun.com/fix_stuff/bash-4.2-68.4.1.x86_64.rpm && rpm -Uvh bash-4.2-68.4.1.x86_64.rpm 
 
 
13.1 32bit 
wget //mirrors.aliyun.com/fix_stuff/bash-4.2-68.4.1.i586.rpm && rpm -Uvh bash-4.2-68.4.1.i586.rpm 
 
aliyun linux: 
5.x 64bit 
wget //mirrors.aliyun.com/centos/5/updates/x86_64/RPMS/bash-3.2-33.el5.1.x86_64.rpm && rpm -Uvh bash-3.2-33.el5.1.x86_64.rpm 
 
5.x 32bit 
wget //mirrors.aliyun.com/centos/5/updates/i386/RPMS/bash-3.2-33.el5.1.i386.rpm && rpm -Uvh bash-3.2-33.el5.1.i386.rpm


例如,假设你的系统当前的 Bash 版本为 3.0。则相应的 patch 可通过以下链接获得:

//ftp.gnu.org/gnu/bash/bash-3.0-patches/




【修补完成测试】
升级bash后,执行测试:
 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test


如果显示如上,表示已经修补了漏洞。


免费拨打  400-100-2938
免费拨打  400-100-2938 免费拨打 400-100-2938
天津11选五开奖结果 返回顶部
返回顶部 返回顶部
  • 新疆兵团第六师骨干教师赴墨玉县乡镇中心学校开展送教活动 2019-06-25
  • 南海网专题报道:2016海南国际旅游岛五一房展 2019-06-24
  • 长治全省率先发布人才落户新政 2019-06-23
  • 走近土掌房文章中国国家地理网 2019-06-22
  • 证监会李钢:将直接融资等同于IPO是误解 2019-06-22
  • 【科普探长】地震自救12秒求生指南 2019-06-21
  • 炮制数万斤毒豆芽 广州三个黑作坊被警方捣毁 2019-06-20
  • SSD价格持续下探:部分产品今年降幅接近腰斩SSD价格持续下探部分产品今年降幅接近腰斩-手机行情 2019-06-19
  • 国家开发银行获第十二届人民企业社会责任奖年度企业奖 2019-06-19
  • 紫光阁中共中央国家机关工作委员会 2019-06-18
  • 惯性的做表面文章,糊弄了谁,欺骗了谁,你懂得。 2019-06-18
  • 光明日报评论员:坚持推动构建人类命运共同体 2019-06-17
  • 中国精神  乘“舟”出海:龙舟运动风靡全球 2019-06-16
  • 两部门发文实施绿色循环优质高效特色农业促进项目 2019-06-16
  • 西班牙一旅游公司官网竟把台湾和香港列为“国家” 2019-06-15
  • 31选7开奖结果查询结果 真人真钱游戏ea 国内新闻奖奖金 象棋入门 网易彩票图标 天下游戏二八杠 四川时时彩官方网 湖北11选5走势 福彩华东15选5 马会传真奇人透码论坛资料 广东11选5定胆杀号 广东彩票兑奖时间 qt网络五子棋 彩票合买跟单 福建快3开奖