2014年9月24日,Bash暴露严重安全漏洞,编号为CVE-2014-6271,该漏洞将导致远程攻击者在受影响的系统上执行任意代码。CNVD对破壳漏洞(ShellShock)的严重性定义为10级(最高)。
一、漏洞信息
1、漏洞描述
GNU Bash 是一个为GNU 计划编写的Unix Shell,广泛使用在Linux 系统内。破壳漏洞(ShellShock)将导致攻击者可改变或绕过环境限制,在受影响的系统上执行任意代码。此漏洞源于在调用Bash shell之前可以用构造的值创建环境变量,这些变量可以包含代码,在shell被调用后会被立即执行。
2、验证方法
本地验证方法:在服务器的命令窗口中输入:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"。如果显示"vulnerable"和"this is a test"信息,则受影响。
3、修复措施
可以使用如下命令直接来修复该漏洞,不支持安装包管理程序的系统需要下载源码进行编译安装:
# cd /usr/local/src
# wget -c ftp://ftp.cwru.edu/pub/bash/bash-4.3.tar.gz
# tar xzvf bash-4.3.tar.gz
# cd bash-4.3
# ./configure
# make
# make install
但上述代码执行完成后使用验证方法验证仍然不会正常通过,需要重新编译,一下是参考其他朋友的方法:
#!/bin/bash
# cd /usr/local/src
# wget http://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz
# tar zxf bash-4.3.tar.gz
# cd bash-4.3
# wget -r -nd -np http://ftp.gnu.org/gnu/bash/bash-4.3-patches/
# for BP in `ls bash43-*|grep -v sig`; do patch -p0 < $BP; done
# ./configure
# make && make install
以上执行完成后,再次验证,就可以了。
# bash --version
# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
其他办法:
Centos系统执行如下命令:yum updata bash
Ubuntu系统执行如下命令:sudo apt-get update && sudo apt-get install bash
bash最新版下载地址:ftp://ftp.cwru.edu/pub/bash/bash-4.3.tar.gz
二、漏洞影响
该漏洞影响GNU Bash版本1.14 - 4.3,受影响的发型版本包括:
Red Hat 企业版 Linux (V4-V7 7)、Fedora、CentOS (V5-V7)、Ubuntu 10.04 LTS,12.04 LTS,14.04 LTS
参考:http://zhangge.net/4479.html
分享到:
相关推荐
【破壳漏洞(CVE-2014-6271)综合分析】 一、威胁卡片 破壳漏洞,也称为Bash Shellshock,是由法国的安全研究员Stéphane Chazelas在2014年9月中旬发现的。这个漏洞被赋予了CVE编号CVE-2014-6271,属于A级威胁响应...
修补了包括CVE-2014-6271(最原始的破壳漏洞)、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187、CVE-2014-6277和CVE-2014-6278。这些Bash漏洞现在都是破壳漏洞集中的,目前所有补丁,截止2014.10.05的官方补丁已经...
例如ShellShock 破壳漏洞,继上次震惊业内的Heartbleed 漏洞被曝出后,现在又一个影响广泛的ShellShock 漏洞再次出现在大众的面前。 网络安全测试方法是保护网络安全和保护单台设备安全的关键一步。通过使用公开...
scratch少儿编程逻辑思维游戏源码-工厂逃生.zip
房地产 -辉盛阁项目介绍.pptx
少儿编程scratch项目源代码文件案例素材-新拉力赛.zip
scratch少儿编程逻辑思维游戏源码-混乱弹球.zip
scratch少儿编程逻辑思维游戏源码-过马路.zip
少儿编程scratch项目源代码文件案例素材-侠盗地牢冒险.zip
少儿编程scratch项目源代码文件案例素材-我的领土.zip
scratch少儿编程逻辑思维游戏源码-机器人闯关.zip
少儿编程scratch项目源代码文件案例素材-天空中的英雄.zip
少儿编程scratch项目源代码文件案例素材-突击尖峰.zip
“即刻青旅”前景广阔,随着青年旅舍行业快速发展,2030年市场规模预计达650亿。创作旨在为年轻旅行者打造专属平台,填补国内专门青旅预定空白。融合微信小程序、Spring Boot等技术,实现青旅查询预定、订单管理、活动职位查看及社区分享等功能。 后端框架: 基于Java的SpringBoot快速开发框架 借助Mybatis-plus构建ORM模型进行数据库操作 第三方API:高德地图、腾讯地图
少儿编程scratch项目源代码文件案例素材-像素猫3.zip
内容概要:本文是一份详细的10bit 50MHz SAR ADC学习指南,旨在帮助新手掌握从基础理论到实际电路设计的全过程。文中详细介绍了Cadence仿真工具的应用以及SMIC 40nm工艺库的具体使用方法。重点讲解了栅压自举开关、CDAC(电荷再分配模数转换器)、比较器和SAR逻辑等核心模块的设计原理和技术要点。此外,还提供了测试电路的构建方法及其性能评估手段,如INL/DNL曲线绘制。最后提到了更高性能TI ADC的扩展接口,为后续深入研究打下基础。 适合人群:对模拟集成电路设计感兴趣的电子工程专业学生或刚入行的研发人员。 使用场景及目标:适用于希望深入了解SAR ADC架构、提高自身硬件设计能力的学习者;目标是在实践中掌握关键技术和优化技巧,能够独立完成类似项目的开发。 其他说明:文章不仅提供理论知识,还包括大量实用的操作提示和常见错误避免建议,有助于读者快速上手并减少试错成本。
scratch少儿编程逻辑思维游戏源码-防空火力 3D.zip
智慧消防安全与应急管理是现代城市安全管理的重要组成部分,随着城市化进程的加速,传统消防安全管理面临着诸多挑战,如消防安全责任制度落实不到位、消防设施日常管理不足、消防警力不足等。这些问题不仅制约了消防安全管理水平的提升,也给城市的安全运行带来了潜在风险。然而,物联网和智慧城市技术的快速发展为解决这些问题提供了新的思路和方法。智慧消防作为物联网和智慧城市技术结合的创新产物,正在成为社会消防安全管理的新趋势。 智慧消防的核心在于通过技术创新实现消防安全管理的智能化和自动化。其主要应用包括物联网消防安全监管平台、城市消防远程监控系统、智慧消防平台等,这些系统利用先进的技术手段,如GPS、GSM、GIS等,实现了对消防设施的实时监控、智能巡检和精准定位。例如,单兵定位方案通过信标点定位和微惯导加蓝牙辅助定位技术,能够精确掌握消防人员的位置信息,从而提高救援效率和安全性。智慧消防不仅提升了消防设施的管理质量,还优化了社会消防安全管理资源的配置,降低了管理成本。此外,智慧消防的应用还弥补了传统消防安全管理中数据处理方式落后、值班制度执行不彻底等问题,赋予了建筑消防设施智能化、自动化的能力。 尽管智慧消防技术在社会消防安全管理工作中的应用已经展现出巨大的潜力和优势,但目前仍处于实践探索阶段。相关职能部门和研究企业需要加大研究开发力度,进一步完善系统的功能与实效性。智慧消防的发展既面临风险,也充满机遇。当前,社会消防安全管理工作中仍存在制度执行不彻底、消防设施日常维护不到位等问题,而智慧消防理念与技术的应用可以有效弥补这些弊端,提高消防安全管理的自动化与智能化水平。随着智慧城市理念的不断发展和实践,智慧消防将成为推动社会消防安全管理工作与城市化进程同步发展的关键力量。
scratch少儿编程逻辑思维游戏源码-节奏空间.zip
scratch少儿编程逻辑思维游戏源码-黑白色.zip