Bash 嚴重安全性漏洞 CVE-2014-6271

2014-09-25 CentOS, CVE, 資安攻防戰

由網路安全 NVD 於2014/9/24 所提出有關 Linux 的 Bash 安全性漏洞有重大的 bug,其嚴重性等級為10,報告為 CVE-2014-6271

 

NVD 表示此漏洞只要擁有 Bash 就可以擁有 root 控制權,其以往的「Heartbleed」僅能查詢到主機資訊,表示其嚴重性。

 

被列為 等級10 除了擁有 root 權限以外,其被入侵的難度被列為低,主要是由於一般服務皆擁有 bash 權限,如 Apache , php .. 等等 cgi 模組。

 

被影響的 OS 範圍廣泛 由 CentOS 5、6、7 皆必須更新 bash

http://lists.centos.org/pipermail/centos/2014-September/146099.html

 

 

並可以使用 env x='() { :;}; echo vulnerable’ bash -c “echo this is a test” 來進行測試 bash 漏洞

 

 

 

 

更新完成後再測試一次,已經無法檢測到。

 

 

編輯紀錄:

如果9/26號有更新過的網友,請注意由於釋出的 5.1 更新版被檢測出依然有 bug,所以之後又釋出了 5.2 版本,請在更新一次並確定更新為 5.2 later。 

 

 

 

參考資料:

Vulnerability Summary for CVE-2014-6271

Bash specially-crafted environment variables code injection attack

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

彙整

分類

open all | close all

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱