Bash高危安全漏洞 威脅遠勝「心臟出血」

這幾天Linux用戶們可能不能愉快地玩耍了，紅帽(Redhat)安全團隊昨天爆出一個危險的Bash Shell漏洞。其帶來的威脅可能比早前披露的「心臟出血」漏洞更大更強！

據路透社報道，網絡專家週三警告稱，他們在普遍使用的Linux軟件Bash中新發現了一個安全漏洞。該漏洞對電腦用戶構成的威脅可能比今年4月發現的「心臟流血」(Heartbleed)漏洞更大。Bash是一款軟件，被用於控制衆多Linux電腦上的命令提示符。這個最新被披露的bash漏洞代號爲Bash bug或Shellshock。當用戶正常訪問時，只要shell是喚醒狀態，這個漏洞就容許***者執行任意代碼命令，簡直就是爲各類各樣的******敞開了大門！更糟的是，這個漏洞在企業級軟件中存在好長時間了！

美國國土安所有下屬計算機緊急響應小組(US-CERT)發佈警告稱，Bash漏洞將影響基於Unix平臺的操做系統，包括Linux和Mac OS X。US-CERT建議電腦用戶從軟件開發商處獲取系統更新。US-CERT稱，包括紅帽在內的Linux系統提供商已經準備好了更新補丁，但未說起OS X是否提供系統更新。蘋果發言人沒法取得聯繫。

可是谷歌安全研究員塔維斯·奧曼迪(Tavis Ormandy)在Twitter上表示，Linux系統提供商推出的補丁彷佛「並不完整」，這引起了幾位安全專家的擔心。

網絡安全公司Rapid7工程部經理託德·貝爾德斯利(Tod Beardsley)警告稱，Bash漏洞的嚴重級別爲「10」，意味着它對用戶電腦的威脅最大。Bash漏洞的利用複雜度級別爲「低」，意味着***能夠相對輕鬆地利用它發動***。

另有網絡安全公司Trail of Bits的CEO丹·古德(Dan Guido)表示，「心臟流血」漏洞可以容許***監控用戶電腦，但不會取得控制權。此外，利用Bash漏洞的方法也更簡單——只須要剪切和粘貼一行代碼便可。

安全勘誤員 Robert David已經將Bash漏洞與"心臟出血「作對比，發現bash 漏洞對系統安全的影響將長期存在，而且普遍影響。「軟件有一個巨大的比例是以某種形式相互影響着的，咱們將永遠沒法找出軟件易受bug影響編目在哪裏！"伯克利大學ICSI技術研究員也很悲觀地贊成Robert David的見解！他補充說道：「這bug很微妙，很邪惡，並將會伴隨咱們多年。」

Redhat官方提供檢測方式

運行命令：  

  $ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"

若是返回以下內容，則請儘快升級。

vulnerable this is a test

「心臟流血」是今年4月在開源加密軟件OpenSSL中發現的一處漏洞。因爲OpenSSL已用於全球三分之二的網站中，因此「心臟流血」漏洞對數百萬人的數據構成了威脅。該漏洞迫使數十家科技司爲數百款使用OpenSSL的產品發佈了安全補丁。