目录:
- -罗伯特格雷厄姆(@ErrataRob)2014年9月25日
- 因此,埃利斯和Rapid7敦促保持一个关于这个bug的水平头。
- “Red Hat报告说:”用于解决此问题的补丁确保在Bash函数结束后不允许任何代码。因此,当您运行上述命令时,而不是吐出“易受攻击”,Bash的受保护版本将会吐出以下内容:
- “简而言之,对消费者的建议是:观察安全更新,尤其是在OS X上。同时关注您可能提出的任何建议从您的ISP或其他运行嵌入式软件的设备提供商处获得信息,请谨慎处理请求信息或指导您运行软件的电子邮件 - 这类事件往往会伴随着利用消费者恐惧的网络钓鱼攻击。“ PCWorld的指南保护您的电脑免受迂回安全陷阱可以帮助您识别身份不好的演员,而伊恩保罗有三个技巧,可以在他的无忧电脑专栏中发现恶意邮件。
这样做不好。 Akamai安全研究员Stephane Chazelas在Unix Bash shell中发现了一个破坏性漏洞,使得Linux机器,OS X机器,路由器,老式IoT设备更容易受到攻击。 “Shellshock”,因为它被称为,允许攻击者在利用这个漏洞后在你的机器上运行深层次的shell命令,但是真正的危险在于 Shell
大量的网络连接设备,Web服务器和网络驱动的服务运行在Linux发行版上,该发行版配备了Bash shell和Mac OS X Mavericks也受到影响。 Shellshock的根源如此之深的事实意味着,在可预见的将来,在未修补的系统中仍然会发现该漏洞 - 尽管如果您使用标准安全预防措施,直接影响 you 的几率看起来有点渺茫。据ZDNet称,安全研究人员已经发现了在野外被利用的Shellshock Bash bug的证据。一次利用尝试安装拒绝服务攻击机器人,并使用常用密码列表猜测受影响服务器的登录信息。 [进一步阅读:如何从Windows PC删除恶意软件]
Heartbleed redux 消息传来,安全社区刚刚摆脱了Heartbleed的影响,Heartbleed是广泛使用的OpenSSL安全协议中的一个严重漏洞。 “今天的bash bug与Heartbleed差不多,”勘察研究员Errata Security的罗伯特格雷厄姆说,“拿着你的马,罗伯特。在我们陷入可怕的警告之前,让我们把重点放在这个故事的积极方面。众多的Linux变体已经推出了插件,包括Red Hat,Fedora,CentOS,Ubuntu和Debian,并且像Akamai这样的大型互联网服务已经出现。
为了记录,cygwin也很脆弱作为bash-3.1从2005年pic.twitter.com/yYtVnPlTAJ-罗伯特格雷厄姆(@ErrataRob)2014年9月25日
但格雷厄姆说,Shellshock的危险将持续多年,部分原因是“大量的软件交互以某种方式使用shell“ - 实际上使得不可能确切知道软件有多脆弱 - 部分原因是由于漏洞的年龄。”与Heartbleed不同,Heartbleed仅影响特定版本的OpenSSL,此bash错误已这意味着网络上有很多旧设备容易受到这个bug的影响,需要打补丁的系统数量比Heartbleed要大得多。“
现在考虑在船尾两个多月呃Heartbleed被披露了,成千上万的系统仍然容易受到攻击。
也许不是Heartbleed redux?
但不要惊慌! (至少现在还没有。)虽然Heartbleed有可能被广泛利用,但安全公司Rapid7的Jen Ellis说,虽然它的猖獗,但Shellshock bug的前景并不十分严峻。
“乍一看,这个漏洞看起来非常糟糕,但是大多数安装了Bash的系统不会由于这个问题而被远程利用,”Ellis写道。 “为了利用这个缺陷,攻击者需要能够向与网络交互的程序发送恶意环境变量,并且该程序必须以Bash实现,或者使用Bash产生子命令。”
因此,埃利斯和Rapid7敦促保持一个关于这个bug的水平头。
“我们并不热衷于跳入'Heartbleed 2.0'的行列。我们得出的结论是有些因素更糟糕,但总体来说图片不太可怕……需要发挥多种因素才能使目标容易受到攻击每个受影响的应用程序可能会通过稍微不同的向量来利用,或者有不同的要求来达到易受攻击的代码。限制了野外袭击的普遍程度,Heartbleed更容易确定测试结果,影响方式更为广泛。“ 尽管老的互联网连接设备(比如安全摄像头)似乎可能是Shellshock的受害者,但受尊敬的安全研究人员Michal Zalewski和Paul McMillan指出,许多嵌入式设备根本没有实际使用Bash shell。 #shellshock bash的bug不是嵌入式世界的终结。大多数嵌入式设备都使用busybox,这是不易受到攻击的。 - Paul McMillan(@PaulM)2014年9月25日
如何判断您是否存在漏洞
除了基于Linux的系统,Graham和Ars Technica报告为了测试你的Bash版本是否容易受到这个问题的影响,红帽公司说:运行这个命令:
$ env x =“(){:;} ; echo echo“bash -c”echo这是一个测试“
如果系统响应以下内容,那么您运行的是易受攻击的Bash版本,应立即应用任何可用更新:
易受攻击
这是一个测试
“Red Hat报告说:”用于解决此问题的补丁确保在Bash函数结束后不允许任何代码。因此,当您运行上述命令时,而不是吐出“易受攻击”,Bash的受保护版本将会吐出以下内容:
$ env x =“(){:;}; echo易受攻击的”bash -c“echo this是一个测试“bash:warning:x:忽略函数定义尝试bash:错误导入'x'的函数定义这是一个测试
这是什么
是什么意思?
您拥有的大多数主要网站和现代小工具可能不会受到此Bash漏洞的影响,并且Apple无疑会快速修补OS X实施。 (现在这里是一个技术性很强的DIY修补程序。)
不可能知道这个缺陷到达了多少程度,它可能会在被忽略的网站,旧路由器和
一些
遗留物联网设备 - 其中许多是无法修补的 - 为已确定的黑客潜入这些系统提供开放。
那么你应该怎么做?以下是来自安全研究员Troy Hunt关于Shellshock的大量深入入门知识的一些可行建议:
“简而言之,对消费者的建议是:观察安全更新,尤其是在OS X上。同时关注您可能提出的任何建议从您的ISP或其他运行嵌入式软件的设备提供商处获得信息,请谨慎处理请求信息或指导您运行软件的电子邮件 - 这类事件往往会伴随着利用消费者恐惧的网络钓鱼攻击。“ PCWorld的指南保护您的电脑免受迂回安全陷阱可以帮助您识别身份不好的演员,而伊恩保罗有三个技巧,可以在他的无忧电脑专栏中发现恶意邮件。
这篇文章最初发布时间是上午9点21分,并在稍后更新以包含有关在野外被利用的错误的信息
Bash shell'Shellshock'漏洞打开OS X,Linux,更多攻击,称为“比Heartbleed更大”
好消息:补丁已经在铺开。坏消息:这种破坏性的漏洞可能会持续很长时间。
Apple发布针对OS X'Shellshock'Bash shell漏洞的补丁
该漏洞对大多数用户造成的危害不大。 Shellshock周一发布了一个补丁,该软件是上周披露的一个严重软件漏洞,尽管该公司表示它对大多数用户没有任何风险。
