心血漏洞

雷锋网AI研习社 AI投研邦 活动 专题 爱搞机

业界人工智能 学术 开发者 智能驾驶 新智驾TV AI+金融科技未来医疗网络安全智慧城市 智慧安防 智慧教育 智慧交通 智慧社区 智慧零售 智慧政务 机器人行业云智能硬件物联网GAIR
业界专题正文
1

Shellshock爆发，“心血漏洞”卷土重来
本文作者：Longye 2014-09-26 02:43
导语：一个新的漏洞在昨天被发现，它代号“ Shellshock”（安全实验室翻译其中文名为“破壳”），属高危漏洞，被安全人士一致认为影响范围可以与今年4月份出现的“心脏出血/Heartbleed ”漏洞相比。
一个新的漏洞在昨天被发现，它代号“ Shellshock”（安全实验室翻译其中文名为“破壳”），属高危漏洞，被安全人士一致认为影响范围可以与今年4月份出现的“心脏出血/Heartbleed ”漏洞相比。

产生“ Shellshock”漏洞的程序叫做bash。
这是一个比OpenSSL还要古老的开源程序，它正式诞生至今已有25年。bash属于命令行程序，你可以类比于Windows下的“cmd”，但它的功能还要强大。简单的说，bash是Linux系统的“命令行”桌面之一，通过向它输入指令，你才能操作电脑。

bash的市场占有率极高。它内置在世界上绝大多数Linux及UNIX系统内，并是大多数Linux、v10.4以上的OS X、移植到Windows平台的Cygwin等系统的默认Shell，也就是前边所说的“命令行”桌面。

通过“ Shellshock”漏洞，黑客可以远程完全控制该系统。
“ Shellshock”利用了bash环境变量的不当处理漏洞，它可以引发恶意类型的远程执行代码。换句话说，借助这个漏洞，黑客可以非常隐蔽的在系统中执行命令，从而有可能获取最高权限。360安全研究员redrain表示，只要这台设备在公网内，就可以利用“ Shellshock”。

目前追溯到bash受影响的范围，从v1.13到最新的v4.3，几乎涉及它公开发布的所有版本。

“ Shellshock”对网站服务器、物联网产品、工控设备等影响非常大。
目前来看，Windows用户基本不受影响，因为没安装bash；Mac用户默认预装了bash，还需要等待苹果官方的回应，目前实测最新版存在此漏洞；互联网网站可能会有大范围受影响，目前国内已经出现第一起利用实例；采用Linux核心的物联网和工控设备同样非常容易受到攻击。

目前状况
bash在昨天下午推出一版安全更新，但据说并未完全解决漏洞，还有利用方法。国内多家安全机构正在研究这一漏洞，预计近两天会有漏洞的详细分析出来。不过鉴于绝大多数工控以及物联网设备并不注重安全，这次受影响的是bash的所有版本，老旧设备可能无法得到更新，它的影响会更深远。

雷锋网(公众号：雷锋网)将持续关注此事。

附：安天实验室给出了一个验证漏洞的方法，在命令行/shell中执行下面命令：

env x='() { :;}; echo VulnerableCVE-2014-6271 ' bash -c "echo test"

执行命令后，如果显示VulnerableCVE-2014-6271，则证明系统存在漏洞，（黑客）可改变echo VulnerableCVE-2014-6271为任意命令进行执行。

部分信息引自readwrite、安天实验室

雷锋网原创文章，未经授权禁止转载。详情见转载须知。

0人收藏 分享：
相关文章
bash漏洞Shellshock

苹果发言人：大部分OS X用户不会受到Shellshock漏洞 ...

苹果为OS X推送更新，修复Shellshock漏洞

苹果发言人：大部分OS X用户不会受到Shellshock漏洞 ...
文章点评：

我有话要说……
表情 同步到新浪微博 提交

Longye
NULL

@leiphone.com
发私信
当月热门文章
最新文章
谁是杀手？写在Gear VR消费者版之前的技术解析贴
2015年，看品胜的O2O大旗如何在行业挥舞
我们能从付费率70%的动漫公司身上学到什么？
全球无人机最大融资将在深圳艾特航空产生
除了换壳还有什么特殊？Apple Watch全解析
58阻击赶集IPO，谁是老姚的Mr.Key?
热门搜索
三星英特尔iPad mini宝马发布会iPhone 5CPS4爱奇艺Mozilla松下Macbook Air
热门关键字
热门标签人工智能 机器人机器学习深度学习金融科技未来医疗智能驾驶自动驾驶计算机视觉激光雷达图像识别智能音箱区块链智能投顾医学影像物联网IoTCV微信小程序平台微信小程序在哪CES 2017CES2016年最值得购买的智能硬件2016 互联网小程序微信朋友圈抢票软件智能手机智能家居智能手环智能机器人智能电视360智能硬件智能摄像机智能硬件产品智能硬件发展智能硬件创业黑客白帽子大数据云计算新能源汽车无人驾驶无人机大疆小米无人机特斯拉VR游戏VR电影VR视频VR眼镜VR购物AR直播扫地机器人医疗机器人工业机器人类人机器人聊天机器人微信机器人微信小程序移动支付支付宝P2P区块链比特币风控高盛人脸识别指纹识别黑科技谷歌地图谷歌IBM微软乐视百度三星s8腾讯三星Note8 小米MIX小米Note华为小米阿里巴巴苹果MacBook ProiPhoneFacebookGAIRIROS双创周云栖大会先打智能硬件公司智能硬件QQ红包支付宝红包敬业福andrew ngios 10 越狱亮风台kiva机器人魅族 note2屏幕funtouch os 3.0duckduckgo游戏数据分析vr手套阿里研究院imagenet 2016大规模天线阵列surface pro4未来通信cncc2016 周志华更多
联系我们关于我们加入我们意见反馈投稿申请专栏作者
Copyright © 2011-2019 www.leiphone.com 雷锋网-读懂智能&未来 All Rights Reserved 粤ICP备11095991号-1 ICP证粤B2-20150332 0daybank