砲彈震風暴才剛開始。在上週發現 Bash 命令解釋器的這一重大安全漏洞後,安全研究人員開始對這款 Unix/Linux 系統的祖傳軟體進行更深入的調查。結果並不好:許多與 Bash 有關的其他缺陷日復一日地出現。
因此,在 Shellshock 的第一個補丁發布後(CVE-2014-6271),一位名叫塔維斯·奧曼迪(Tavis Ormandy)的谷歌工程師發現了第二個缺陷來解決它。這個缺陷,收到了標識符CVE-2014-7169,還允許您遠端注入程式碼和執行命令。然而,它比第一個更難利用。因此,相關主要發行商(例如 Red Hat、Ubuntu、Debian 或 Cisco)發布了第二個補丁。
bash 補丁對我來說似乎不完整,函數解析仍然很脆弱。例如 $ env X='() { (a)=>' sh -c “回顯日期”;貓迴聲
— 塔維斯‧奧曼迪 (@taviso)2014 年 9 月 24 日
隨後,紅帽工程師還發現了 Bash 中的另外兩個缺陷(CVE-2014-7186等CVE-2014-7187),也與該軟體工具允許您在環境變數中定義函數有關。在這兩種情況下,它們主要允許軟體崩潰,但不允許遠端程式碼執行。因此,即使所有技術細節尚不清楚,他們的風險程度似乎也較低。
然後,這個週末,當 Michal Zalewski(又名“lcamuf”)發現了另外兩個漏洞(CVE-2014-6277 和 CVE-2014-6278),就像 Shellshock 一樣,允許遠端執行程式碼。同樣,技術細節尚不清楚,但這兩個缺陷將使之前的所有補丁失效。
研究者建議使用由弗洛里安·韋默,來自紅帽。它的想法是徹底過濾環境變數。問題是這個補丁還需要更改使用這些環境變數的(許多)軟體。因此,應謹慎採用此補丁......
另請閱讀:
安全性:「Shellshock」重大缺陷震撼了 Linux 和 Mac OS 世界, 25/09/2014
Shellshock 重大缺陷:Apple 讓 Macintosh 用戶放心,於 27/09/2014
獨家專訪:“我偶然發現了Shellshock缺陷”,於 26/09/2014
