bash 漏洞

FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
最新Bash漏洞修补初级方案 evil82014-09-25金币奖励+8共196336人围观 ，发现 2 个不明物体 WEB安全漏洞
‍‍Bash爆出远程解析命令执行漏洞（CVE-2014-6271），波及各大Linux发行版与MacOSX系统。漏洞可以直接在Bash支持的Web CGI环境下远程执行任意命令。传送门‍

bash注入公开之后根据官方的文档发现，攻击者只要保持

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
中前四个字符不改变，也就是’(){ 固定，后面的:;}中符合规定的语法就可以进行攻击测试。虽然漏洞的影响非常大，但是相比于‘Openssl’来说，利用的环境是有限的。

bash利用环境

防御bash注入的方法，首先需要更新bash，yum update下就OK了，更新到bash-4.1.2-15，或者是添加mod_security:

[ Request Header values:
SecRule REQUEST_HEADERS "^\(\) {" "phase:1,deny,id:1000000,t:urlDecode,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
SERVER_PROTOCOL values:
SecRule REQUEST_LINE "\(\) {" "phase:1,deny,id:1000001,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
GET/POST names:
SecRule ARGS_NAMES "^\(\) {" "phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
GET/POST values:
SecRule ARGS "^\(\) {" "phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
File names for uploads:
SecRule FILES_NAMES "^\(\) {" "phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271 - Bash Att ]
虽然有人给出了在iptable中添加规则，但是觉得在iptable中添加规则会规定的太死，不过也可以去尝试下

[ iptables --append INPUT -m string --algo kmp --hex-string '|28 29 20 7B|' --jump DROP
iptables using -m string --hex-string '|28 29 20 7B|' ]
*本文作者evil8，转载请注明出自FreeBuf.COM]

evil8
||
上一篇：威胁远胜“心脏出血”？国外新爆Bash高危安全漏洞下一篇：Bash漏洞报道：初步补丁并不完整
这些评论亮了

夜黑风寒 (3级)回复
一听到bash出问题了，立马yum update，我特么太机智了
)24(亮了
发表评论已有 2 条评论

夜黑风寒 (3级) 2014-09-26回复 1楼
一听到bash出问题了，立马yum update，我特么太机智了

亮了(24)

xxoo 2014-09-26回复 2楼
Suricata Format

alert http $EXTERNAL_NET any -> $HOME_NET any (msg:”Volex – Possible CVE-2014-6271 bash Vulnerability Requested (header)”; flow:established,to_server; content:”() {“; http_header; threshold:type limit, track by_src, count 1, seconds 120; sid:2014092401;)

Snort Format

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:”Volex – Possible CVE-2014-6271 bash Vulnerability Requested (header) “; flow:established,to_server; content:”() {“; http_header; threshold:type limit, track by_src, count 1, seconds 120; sid:2014092401;)

from:http://www.volexity.com/blog/?p=19

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我

evil8

这家伙太懒，还未填写个人描述！

226
文章数
0
评论数
最近文章
上海国凯英计算机有限公司招聘安全工程师、逆向工程师
2015.10.30

成都思维世纪科技招聘安全岗位
2015.08.20

迪普网络招聘安全服务工程师、渗透测试工程师
2015.07.13

浏览更多
相关阅读
挖洞经验 | 看我如何发现GitHub提权漏洞获得$10000赏金WAF绕过技巧浅谈如何高效利用你所“劫持”的HTTP会话？以UPX漏洞为例介绍整数溢出（基础篇）如何通过LDAP注入在20秒之内绕过Joomla!的登录认证（含演示视频）
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php0daybank