漏洞频出现 供应商加紧推出新的Bash补丁

安全 漏洞
供应商正在迅速部署之前发布的针对“Shellshock”Bash漏洞的新补丁,然而,研究人员已发现了更多的Bash漏洞,企业将需要及时进行修复。

对于这个迅速吞没安全社区的Bourne-again shell(Bash)中的“Shellshock”漏洞,已经打了补丁的IT专业人士可能认为他们不需要担心这个漏洞了。然而,研究人员又发现了原来被忽视的问题,并发布了新的补丁,IT专业人士需要重新再更新系统。

[[120845]]

Bash漏洞(CVE-2014-6271)一经发布就引起了广泛关注,因为这个shell可以处理特制的环境变量,即其拥有在最后附加额外的恶意代码的功能。在通用安全漏洞评分系统(CVSS),该漏洞被评为10.0,它影响着世界各地数以百万计的Linux系统,甚至让人们将其与臭名昭著的Heartbleed OpenSSL漏洞作比较。

在该漏洞曝光后,Bash的项目管理者迅速发布了一个补丁;Red Hat等供应商随后更新了其产品,而这之后,研究人员发现了避开这个补丁的潜在方法。谷歌安全研究人员Tavis Ormandy是最早在Twitter上呼吁人们关注这个尚有缺陷的补丁的人之一。

对于我来说,这个bash补丁似乎不完全,函数解析依然脆弱,例如$ env X='() { (a)=>\' sh -c "echo date"; cat echo

——Tavis Ormandy (@taviso)

Ormandy的发现让我们看到了新发现的问题(CVE=2014-7169),并导致随后发布第二次补丁,但这两个补丁都没有完全修复曝光的shell解析功能。在OSS-SEC邮件列表讨论了这些问题后,研究人员上周末发现了Bash中两个未指明的漏洞,被标记为CVE-2014-7186和CVE-2014-7187,不过这些漏洞的严重程度尚不清楚。

另一位谷歌安全研究人员Micha Zalewski在其博客中表示他在周末还发现另一对Bash漏洞:CVE-2014-6277和CVE-2014-6278。虽然CVE-2014-6277是解析问题,最有可能被远程利用,Zalewski表示,他认为CVE-2014-6278可能是自Shellshock曝光以来发现的“最严重的问题”。

CVE-2014-6278本质上允许“在已经修复第一个补丁的系统上执行非常简单和直接的远程代码,”Zalewski在其博客中指出,他计划将陆续公布关于漏洞的更多细节信息,“这是‘把你的命令放在这里’类型的漏洞,类似于原来报告中所描述的那样。”

基于Zalewski的发现,Red Hat公司产品安全研究人员Florian Weimer发布了非官方的Bash补丁,据称该补丁解决了上周所有已报道的Bash安全漏洞。Weimer的补丁随后被项目管理者Chet Ramey采用,作为周六发布的Bash 4.3官方补丁的一部分。

在这个新补丁发布之际,业内一些大公司已经努力在各种产品中修复Bash。甲骨文公司发布的安全警报证实该供应商的几十款产品受到最初Shellshock漏洞以及最新的CVE-2014-7169的影响,但该公司没有说明客户何时会得到永久性修复。

思科为使用包含易受攻击版本Bash的产品的客户提供了软件更新,但随后的发现让我们还不清楚这些补丁是否最终被证明是暂时的。

Zalewski表示:“在这一点上,我非常强烈地建议手动部署Florian的补丁,除非你的发行版已经发货了。”

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2014-09-26 15:57:52

2019-02-13 10:59:51

2012-12-26 09:32:59

应用交付AWS云优化

2012-06-08 09:31:34

UC整合UC

2011-04-15 10:05:39

甲骨文Oracle

2011-02-24 10:06:02

2020-03-18 19:27:09

安全指南物联网安全

2015-08-13 10:46:49

2019-10-24 08:41:06

供应商安全信息安全数据泄露

2022-08-05 10:52:43

SOC安全运营中心

2012-03-05 10:42:24

SaaS云计算数据存储

2013-11-21 15:19:12

戴尔

2023-02-16 11:35:02

2021-09-13 14:31:32

物联网供应商IoT

2013-04-16 10:12:46

IaaS云计算

2017-12-22 15:37:46

谷歌IBM微软

2021-06-25 10:24:30

Google开源漏洞数据库

2013-03-02 16:08:31

2015-08-13 10:13:44

2010-11-11 09:38:26

微软私有云
点赞
收藏

51CTO技术栈公众号