Bash Shell 漏洞 Shell Shock

繼上次 OpenSSL Heartbleed 漏洞之後，Bash Shell 又中獎，出現 Shell Shock 漏洞。

我們習慣使用的 CentOS 已經提供了 bash patch，直接再安裝一次 bash，就會自動更新 bash 套件。

yum -y install bash

Shell Shock 要用以下的指令檢測

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

我們實際在更新與未更新的機器上測試。
沒有更新 bash 的機器結果如下

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

如果已經更新了 bash，結果如下

# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: 錯誤，輸入的函數定義為 `x'
this is a test

Bash Shell 漏洞威脅不小於 Heartbleed！Unix-Like 作業系統請儘速更新