2014年9月26日

Bash Shell 漏洞 Shell Shock

繼上次 OpenSSL Heartbleed 漏洞之後,Bash Shell 又中獎,出現 Shell Shock 漏洞。

我們習慣使用的 CentOS 已經提供了 bash patch,直接再安裝一次 bash,就會自動更新 bash 套件。

yum -y install bash

Shell Shock 要用以下的指令檢測

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

我們實際在更新與未更新的機器上測試。
沒有更新 bash 的機器結果如下

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

如果已經更新了 bash,結果如下

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: 錯誤,輸入的函數定義為 `x'
this is a test

Bash Shell 漏洞威脅不小於 Heartbleed!Unix-Like 作業系統請儘速更新