漏洞频出现 供应商加紧推出新的Bash补丁

日期: 2014-10-08 作者:Brandan Blevins翻译:邹铮 来源:TechTarget中国 英文

对于这个迅速吞没安全社区的Bourne-again shell(Bash)中的“Shellshock”漏洞,已经打了补丁的IT专业人士可能认为他们不需要担心这个漏洞了。然而,研究人员又发现了原来被忽视的问题,并发布了新的补丁,IT专业人士需要重新再更新系统。

Bash漏洞(CVE-2014-6271)一经发布就引起了广泛关注,因为这个shell可以处理特制的环境变量,即其拥有在最后附加额外的恶意代码的功能。在通用安全漏洞评分系统(CVSS),该漏洞被评为10.0,它影响着世界各地数以百万计的Linux系统,甚至让人们将其与臭名昭著的Heartbleed OpenSSL漏洞作比较。

在该漏洞曝光后,Bash的项目管理者迅速发布了一个补丁;Red Hat等供应商随后更新了其产品,而这之后,研究人员发现了避开这个补丁的潜在方法。谷歌安全研究人员Tavis Ormandy是最早在Twitter上呼吁人们关注这个尚有缺陷的补丁的人之一。

对于我来说,这个bash补丁似乎不完全,函数解析依然脆弱,例如$ env X='() { (a)=>’ sh -c “echo date”; cat echo

——Tavis Ormandy (@taviso)

Ormandy的发现让我们看到了新发现的问题(CVE=2014-7169),并导致随后发布第二次补丁,但这两个补丁都没有完全修复曝光的shell解析功能。在OSS-SEC邮件列表讨论了这些问题后,研究人员上周末发现了Bash中两个未指明的漏洞,被标记为CVE-2014-7186和CVE-2014-7187,不过这些漏洞的严重程度尚不清楚。

另一位谷歌安全研究人员Micha Zalewski在其博客中表示他在周末还发现另一对Bash漏洞:CVE-2014-6277和CVE-2014-6278。虽然CVE-2014-6277是解析问题,最有可能被远程利用,Zalewski表示,他认为CVE-2014-6278可能是自Shellshock曝光以来发现的“最严重的问题”。

CVE-2014-6278本质上允许“在已经修复第一个补丁的系统上执行非常简单和直接的远程代码,”Zalewski在其博客中指出,他计划将陆续公布关于漏洞的更多细节信息,“这是‘把你的命令放在这里’类型的漏洞,类似于原来报告中所描述的那样。”

基于Zalewski的发现,Red Hat公司产品安全研究人员Florian Weimer发布了非官方的Bash补丁,据称该补丁解决了上周所有已报道的Bash安全漏洞。Weimer的补丁随后被项目管理者Chet Ramey采用,作为周六发布的Bash 4.3官方补丁的一部分。

在这个新补丁发布之际,业内一些大公司已经努力在各种产品中修复Bash。甲骨文公司发布的安全警报证实该供应商的几十款产品受到最初Shellshock漏洞以及最新的CVE-2014-7169的影响,但该公司没有说明客户何时会得到永久性修复。

思科为使用包含易受攻击版本Bash的产品的客户提供了软件更新,但随后的发现让我们还不清楚这些补丁是否最终被证明是暂时的。

Zalewski表示:“在这一点上,我非常强烈地建议手动部署Florian的补丁,除非你的发行版已经发货了。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Brandan Blevins
Brandan Blevins

As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.

翻译

邹铮
邹铮

相关推荐