Archive for 9 月, 2014

SSH bash紧急安全补丁!重要!

注意:也许你的服务器自动更新了,看不到漏洞.但为了安全,还是建议测试下是否存在.

本文章适合所有VPS/独立服务器系统更新。

日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击,为了避免您Linux服务器受影响,建议您尽快完成漏洞修补,修复方法如下,请了解!

【已确认被成功利用的软件及系统 
所有安装GNU bash 版本小于或者等于4.3的Linux操作系统。 


【漏洞描述】 
该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行。 


【漏洞检测方法】

 

SSH执行命令:

env t='() { :;}; echo You are vulnerable.’ bash -c “true”
修复前检测:

如果显示You are vulnerable,很遗憾,必须立即打上安全补丁修复

使用修补方案修复后
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
this is a test
特别提示:该修复不会有任何影响,如果您的脚本使用以上方式定义环境变量,修复后您的脚本执行会报错。

【建议修补方案 】

请您根据Linux版本选择您需要修复的命令, 为了防止意外情况发生,建议您执行命令前先对Linux服务器系统盘打个快照,如果万一出现升级影响您服务器使用情况,可以通过回滚系统盘快照解决。




2.修复漏洞办法

Ubuntu or Debian 请执行

  1. apt-get update
  2. apt-get upgrade



RedHat, CentOS or Fedora 请执行

  1. yum clean all
  2. yum -y update bash

评论