如何保护您的服务器反对Shellshock Bash漏洞

介绍

在2014年9月24日,一个被称为Shellshock或“Bash Bug”的GNU Bash漏洞被披露。简而言之,漏洞允许远程攻击者在给定特定条件下执行任意代码,通过在环境变量赋值之后传递代码字符串。由于Bash在Linux,BSD和Mac OS X发行版中无处不在的状态,许多计算机容易受到Shellshock的攻击;所有未修补的1.14到4.3之间的Bash版本(即到现在为止的所有版本)都有风险。 Shellshock漏洞可以在运行服务或应用程序的系统上使用,允许未授权的远程用户分配Bash环境变量。可利用的系统的示例包括:
  • 使用CGI脚本(通过Apache HTTP服务器mod_cgimod_cgid )上所写的Bash或启动来Bash shell
  • 某些DHCP客户端
  • 使用OpenSSH的服务器ForceCommand能力
  • 使用Bash的各种网络暴露的服务
该bug的详细描述可参见 CVE-2014-6271CVE-2014-7169CVE-2014-7186CVE-2014-7187 。 因为Shellshock漏洞非常普遍,比OpenSSL Heartbleed漏洞更为严重,并且特别容易被利用,因此强烈建议您尽快更新受影响的系统以修复或缓解漏洞。我们将向您展示如何测试您的计算机是否易受攻击,如果是的话,如何更新Bash以删除该漏洞。

检查系统漏洞

在运行Bash的每个系统上,您可以通过在bash提示符下运行以下命令来检查Shellshock漏洞:
env 'VAR=() { :;}; echo Bash is vulnerable!' 'FUNCTION()=() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
突出显示的 echo Bash is vulnerable!命令的部分代表,其中远程攻击者可以注入恶意代码; 在环境变量赋值中的函数定义之后的任意代码。 因此,如果你看到下面的输出,你的Bash的版本 是脆弱的,应该更新
Bash is vulnerable!
Bash Test
如果您的输出中不包括模拟攻击者的有效载荷,即“Bash是脆弱的”不打印作为输出,要针对至少第一个漏洞(保护 CVE-2014-6271 ),但你可能会受到对方的CVE说后来被发现。 如果有任何 bash警告或错误输出,您应该更新Bash其最新版本;这个过程在下一节中描述。 如果从测试命令输出的唯一的事情是以下,你的Bash从Shellshock是安全的:
Bash Test

测试远程站点

如果你只是想测试,如果网站或特定的CGI脚本是脆弱的,使用此链接: “ShellShock”Bash漏洞CVE-2014-6271测试工具 。 只需输入要在适当表单中测试的网站或CGI脚本的URL,然后提交。

修复漏洞:更新Bash

修复漏洞的最简单方法是使用默认软件包管理器来更新Bash的版本。以下小节涵盖了在各种Linux发行版(包括Ubuntu,Debian,CentOS,Red Hat和Fedora)上更新Bash。

APT-GET:Ubuntu / Debian

有关当前支持版本 的UbuntuDebian的 ,更新的Bash通过可用的最新版本 apt-get
sudo apt-get update && sudo apt-get install --only-upgrade bash
现在,通过运行在上一节中的命令再次检查您的系统漏洞( 检查系统漏洞 )。

生命终结Ubuntu / Debian发行版

如果您正在运行Ubuntu / Debian上被认为是 生活状态的 结束释放,你将不得不升级到支持使用软件包管理器更新Bash。以下命令可用于升级到新版本(建议您先备份服务器和重要数据,以防您遇到任何问题):
sudo do-release-upgrade
升级完成后,请确保更新Bash。

YUM:CentOS / Red Hat / Fedora

更新Bash通过可用的最新版本 yum
sudo yum update bash
现在,通过运行在上一节中的命令再次检查您的系统漏洞( 检查系统漏洞 )。

EndOS生命终止CentOS / Red Hat / Fedora发行版

如果你正在运行的CentOS /红帽/ Fedora的被认为是 生活状态的 结束释放,你将不得不升级到支持使用软件包管理器更新Bash。以下命令可用于升级到新版本(建议您先备份服务器和重要数据,以防您遇到任何问题):
sudo yum update
升级完成后,请确保更新Bash。

结论

请务必将所有受影响的服务器更新到最新版本的Bash!此外,请务必使您的服务器保持最新的安全更新!
赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏