Bash漏洞檢測

9/24 US-CERT、RedHat及多家資安業者揭露一則消息:Bash 存在嚴重安全漏洞

Bash Shell 從 2004 年 7 月起存在一個安全漏洞,允許環境變數設定指令夾帶惡意指令被一併執行。當今世界上運作中的 Linux / *nix 系統(連 Mac OS 也算)的數量驚人,甚至在你料想不到的裝置裡也有個 Linux 默默工作著(除了智慧型手機外,許多電視機上盒、網路攝影機裡面也住著一隻小企鵝),它在我們的生活周遭幾乎已是無所不在,故評估這個漏洞影響範圍頗大。不過,較大的被攻擊風險主要來自 CGI 網站介面(是的,CGI! 清朝最流行的網站開發技術)送入惡意指令,滿足特定條件才具有高度風險,不用過度恐慌。

RedHat 資安部落格提供了一個簡單的測試指令

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

若出現 vunlerable 字樣,表示 Bash 有漏洞!

 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test

若出現 warning 及 error 訊息,表示 Bash 已是被修補過的版本,Safe!

好奇兼手癢,就找了手邊的 Linux 系統測試,第一開刀的是恰巧擺在桌上的新玩具 Raspberry Pi:

中!

原本想挖出之前裝過的 Linux VM 來現,後來想起 MSDN 送了免費 Azure 時數,不用可惜,索性就試試在 Azure 雲端養白老鼠。雖然工作專案沒什麼機會放上雲端跑,但 Azure 的 VM 建立程序還真方便,網頁上點幾下,當場生出兩台 Linux 讓我亂玩,玩完就砍掉,很酷!

先試了 Ubuntu,發現 Azure 提供的 Ubuntu 磁碟映像檔(Image)版本, Bash 已是修正過的版本。

原本想來個修補前修補後的對照,這下沒搞頭了。

再試另一台SUSE Linux Enterprise Server 11 SP3。Oh Yeah~ 捕獲有洞的 Bash 一隻!

臨時惡補,學會怎麼更新 SUSE。將系統更新到最新版,漏洞消失!

檢測方法很簡單,建議有在用 Linux 的朋友順手檢查,勤於更新,才能永保安康囉!

【參考資料】

歡迎推文分享:
Published 26 September 2014 01:34 PM 由 Jeffrey
Filed under:
Views: 5,484



意見

沒有意見

你的看法呢?

(必要的) 
(必要的) 
(選擇性的)
(必要的) 
(提醒: 因快取機制,您的留言幾分鐘後才會顯示在網站,請耐心稍候)

5 + 3 =

搜尋

Go

<September 2014>
SunMonTueWedThuFriSat
31123456
78910111213
14151617181920
21222324252627
2829301234
567891011
 
RSS
創用 CC 授權條款
【廣告】
twMVC

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication