對于這個迅速吞沒安全社區(qū)的Bourne-again shell(Bash)中的“Shellshock”漏洞,已經(jīng)打了補丁的IT專業(yè)人士可能認為他們不需要擔心這個漏洞了。然而,研究人員又發(fā)現(xiàn)了原來被 忽視的問題,并發(fā)布了新的補丁,IT專業(yè)人士需要重新再更新系統(tǒng)。
Bash漏洞(CVE-2014-6271)一經(jīng)發(fā)布就引起了廣泛關(guān)注,因為這個shell可以處理特制的環(huán)境變量,即其擁有在最后附加額外的惡意代碼的 功能。在通用安全漏洞評分系統(tǒng)(CVSS),該漏洞被評為10.0,它影響著世界各地數(shù)以百萬計的Linux系統(tǒng),甚至讓人們將其與臭名昭著的Heartbleed OpenSSL漏洞作比較。
在該漏洞曝光后,Bash的項目管理者迅速發(fā)布了一個補?。籖ed Hat等供應商隨后更新了其產(chǎn)品,而這之后,研究人員發(fā)現(xiàn)了避開這個補丁的潛在方法。谷歌安全研究人員Tavis Ormandy是最早在Twitter上呼吁人們關(guān)注這個尚有缺陷的補丁的人之一。
對于我來說,這個bash補丁似乎不完全,函數(shù)解析依然脆弱,例如$ env X=' { (a)=>' sh -c "echo date"; cat echo
——Tavis Ormandy (@taviso)
Ormandy的發(fā)現(xiàn)讓我們看到了新發(fā)現(xiàn)的問題(CVE=2014-7169),并導致隨后發(fā)布第二次補丁,但這兩個補丁都沒有完全修復曝光的shell 解析功能。在OSS-SEC郵件列表討論了這些問題后,研究人員上周末發(fā)現(xiàn)了Bash中兩個未指明的漏洞,被標記為CVE-2014-7186和CVE- 2014-7187,不過這些漏洞的嚴重程度尚不清楚。
另一位谷歌安全研究人員Micha Zalewski在其博客中表示他在周末還發(fā)現(xiàn)另一對Bash漏洞:CVE-2014-6277和CVE-2014-6278。雖然CVE- 2014-6277是解析問題,最有可能被遠程利用,Zalewski表示,他認為CVE-2014-6278可能是自Shellshock曝光以來發(fā)現(xiàn) 的“最嚴重的問題”。
CVE-2014-6278本質(zhì)上允許“在已經(jīng)修復第一個補丁的系統(tǒng)上執(zhí)行非常簡單和直接的遠程代碼,”Zalewski在其博客中指出,他計劃將陸續(xù)公布關(guān)于漏洞的更多細節(jié)信息,“這是‘把你的命令放在這里’類型的漏洞,類似于原來報告中所描述的那樣。”
基于Zalewski的發(fā)現(xiàn),Red Hat公司產(chǎn)品安全研究人員Florian Weimer發(fā)布了非官方的Bash補丁,據(jù)稱該補丁解決了上周所有已報道的Bash安全漏洞。Weimer的補丁隨后被項目管理者Chet Ramey采用,作為周六發(fā)布的Bash 4.3官方補丁的一部分。
在這個新補丁發(fā)布之際,業(yè)內(nèi)一些大公司已經(jīng)努力在各種產(chǎn)品中修復Bash。甲骨文公司發(fā)布的安全警報證實該供應商的幾十款產(chǎn)品受到最初Shellshock漏洞以及最新的CVE-2014-7169的影響,但該公司沒有說明客戶何時會得到永久性修復。
思科為使用包含易受攻擊版本Bash的產(chǎn)品的客戶提供了軟件更新,但隨后的發(fā)現(xiàn)讓我們還不清楚這些補丁是否最終被證明是暫時的。
Zalewski表示:“在這一點上,我非常強烈地建議手動部署Florian的補丁,除非你的發(fā)行版已經(jīng)發(fā)貨了。”