南京服务托管满足不同阶段的需求
南京服务器托管租用-行业新闻
关于Linux下bash注入漏洞的紧急通知
发布时间:2014-10-13阅读:921
近日在开源软件Linux中一个频繁使用的命令解释器"bash"被发现存在漏洞。利用该漏洞,黑客可以远程窃取服务器上的信息,并控制服务器,西部数码提醒广大Linux云主机/vps 用户及时更新并安装安全补丁,避免漏洞被利用后造成重大危险

尊敬的华昊数据客户:

    您好!

近日在开源软件Linux中一个频繁使用的命令解释器"bash"被发现存在漏洞。利用该漏洞,黑客可以远程窃取服务器上的信息,并控制服务器,西部数码提醒广大Linux云主机/vps 用户及时更新并安装安全补丁,避免漏洞被利用后造成重大危险

【漏洞描述】
该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行。

【漏洞信息】
CVE编号:CVE-2014-6271
发现日期:2014-09-25
漏洞详情:https://access.redhat.com/security/cve/CVE-2014-6271

CVE-2014-6271

影响: Critical

公开: 2014-09-24

CWE: CWE-78
Bugzilla: 1141597: CVE-2014-6271 bash: specially-crafted environment variables can be used to inject shell commands

详情
A flaw was found in the way Bash evaluated certain specially crafted environment variables. An attacker could use this flaw to override or bypass environment restrictions to execute shell commands. Certain services and applications allow remote unauthenticated attackers to provide environment variables, allowing them to exploit this issue.
Find out more about CVE-2014-6271 from the MITRE CVE dictionary and NIST NVD.

语句
Red Hat has become aware that the patches shipped for this issue are incomplete. An attacker can provide specially-crafted environment variables containing arbitrary commands that will be executed on vulnerable systems under certain conditions. The new issue has been assigned CVE-2014-7169.

【漏洞检测方法】

登录服务器后执行命令以下命令

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

若命令输出"vulnerable",则说明存在漏洞

【修补方案】

Centos修补方案(执行如下命令,不用重启):
yum -y update bash
Ubuntu修补方案(执行如下命令,不用重启):

apt-get update
apt-get install bash

如果需要提供技术支持,请致电华昊数据客服:400-025-9-467

谢谢您对我们一直以来的支持!

本文来源:http://www.hh-data.com/Shownews_375.html
WWW.HH-DATA.COM,南京服务器托管第一品牌  TEL:400-025-9-467  QQ:21390019
本文由华昊数据整理发布,修订2014-10-13

Baidu
 
QQ:21390019
QQ:925493756
点击这里给我发消息
点击这里给我发消息
服务热线
025-58633651
 
友情链接:南京服务器托管 | 南京服务器租用 | 南京服务器手机版