[分享] CVE-2014-6271 Bash Shell出現重大漏洞

看板Linux作者 (肥兔小欽)時間9年前 (2014/09/25 17:52), 編輯推噓9(9055)
留言64則, 11人參與, 最新討論串1/5 (看更多)
https://paste.plurk.com/show/2003120/ Unix /Linux 的Bash Shell 出現重大漏洞,危險等級可能超越 Heartbleed http://www.ithome.com.tw/news/91107 Vulnerability Summary for CVE-2014-6271 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271 請參考上述資訊,並更新bash。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.25.211 ※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1411638722.A.A1D.html
09/25 18:48, , 1F
哇,每一台都中獎
09/25 18:48, 1F
09/25 19:27, , 2F
這個應該全中槍吧 XD
09/25 19:27, 2F
09/25 19:29, , 3F
我參照上面的測試方法 Ubuntu沒事 Mac中獎了 xDDD
09/25 19:29, 3F
09/25 19:34, , 4F
全中,arch linux / openwrt / bsd
09/25 19:34, 4F
09/25 19:45, , 5F
借標題一問 現在大家都在更新嗎? 我正在安裝MINT 結果..
09/25 19:45, 5F
09/25 19:46, , 6F
現在裝到語言套件下載中..469B/s..(剩餘時間為 901:13)
09/25 19:46, 6F
09/25 19:47, , 7F
不知道是不是更新伺服器的問題... Orz....
09/25 19:47, 7F
09/25 19:50, , 8F
更新伺服器的問題吧
09/25 19:50, 8F
09/25 22:31, , 9F
五樓可以把 repo 換到台灣的高速網路中心
09/25 22:31, 9F
09/25 23:19, , 10F
其實這個問題安全性影響不大,用 web 服務然後呼叫 bash
09/25 23:19, 10F
09/25 23:20, , 11F
程式才比較有影響。網路上誇大了問題讓太多人驚恐了
09/25 23:20, 11F
09/25 23:22, , 12F
目前比較少人用 bash 寫 cgi 了
09/25 23:22, 12F
09/25 23:25, , 13F
嵌入式機器開 php 太肥大,或者admin非資工背景的時候
09/25 23:25, 13F
09/25 23:25, , 14F
bash cgi 就很常見,至少我就是
09/25 23:25, 14F
09/25 23:26, , 15F
然後不只有 bash cgi吧?
09/25 23:26, 15F
09/26 01:09, , 16F
openwrt不是用busybox? 哪來中獎?
09/26 01:09, 16F
09/26 01:14, , 17F
至於BSD系 不一定會用/有bash
09/26 01:14, 17F
09/26 01:15, , 18F
anyway 這問題只有bash有 其他shell都沒事
09/26 01:15, 18F
09/26 01:16, , 19F
所以某些系統根本沒中的可能
09/26 01:16, 19F
09/26 01:17, , 20F
再說也要有跑bash才會出事
09/26 01:17, 20F
09/26 01:17, , 21F
但現在很少有服務會跑bash了
09/26 01:17, 21F
09/26 01:23, , 22F
總覺得上面這句好像哪裡怪怪XDDD 範圍好像太大啦www
09/26 01:23, 22F
09/26 02:25, , 23F
嵌入式的 cgi 不大流行使用 bash script 來開發
09/26 02:25, 23F
09/26 02:26, , 24F
bash都用來跑後端的cron了吧
09/26 02:26, 24F
09/26 02:26, , 25F
實際影響不大
09/26 02:26, 25F
09/26 02:31, , 26F
我早期接觸過的專案 cgi 當道時候都是使用 perl 為主
09/26 02:31, 26F
09/26 02:31, , 27F
有些會用 c 撰寫編譯成為 binary 檔案方式執行使用
09/26 02:31, 27F
09/26 02:32, , 28F
目前我是很少看到有專案使用 bash script 當 cgi 呼叫
09/26 02:32, 28F
09/26 02:33, , 29F
最多只有看到 web 那邊接收到相關東西之後,最後
09/26 02:33, 29F
09/26 02:34, , 30F
會去執行 bash script 這類間接的方式
09/26 02:34, 30F
09/26 02:47, , 31F
全中:centos6-7,mint,debian7,openindiana,rhel6
09/26 02:47, 31F
09/26 02:59, , 32F
嵌入式當然不流行bash script啊 bash都不想用了
09/26 02:59, 32F
09/26 03:00, , 33F
bash耗的資源對資源寶貴的嵌入式系統來說太過肥大了
09/26 03:00, 33F
09/26 07:08, , 34F
如果把bash移掉呢?
09/26 07:08, 34F
09/26 08:27, , 35F
你可以試試 應該還不至於開不了機啦(至少kernel能開XD)
09/26 08:27, 35F
09/26 09:52, , 36F
需要經常修改的情況,純C 並不是很方便的選擇
09/26 09:52, 36F
09/26 09:52, , 37F
至於有多少人在用 bash cgi,不是已經有人發表文章了?
09/26 09:52, 37F
09/26 09:54, , 38F
bash 什麼功能都要自已來,沒有現成的 cgi lib 可用
09/26 09:54, 38F
09/26 09:55, , 39F
本來就不是拿來寫專案的,但為什麼還這麼多 bash cgi ?
09/26 09:55, 39F
09/26 09:57, , 40F
09/26 09:57, 40F
09/26 12:52, , 41F
shell script寫cgi 某些地方確實會見到
09/26 12:52, 41F
09/26 12:53, , 42F
不過shell不一定用bash跑 也不是所有sh都是bash的link
09/26 12:53, 42F
09/26 12:54, , 43F
至於那些說有很多有bash cgi有掃到洞的
09/26 12:54, 43F
09/26 12:54, , 44F
不知道從列表裡把同時還有heartbleed的砍掉會剩多少?
09/26 12:54, 44F
09/26 13:05, , 45F
反正這漏洞雖然有一定嚴重性 但並不是所有人都會出事
09/26 13:05, 45F
09/26 13:06, , 46F
看起來只要更新了就好,最慘就是自己重編一下
09/26 13:06, 46F
09/26 13:07, , 47F
不過出不出事是一回事 沒真的忙翻天還是更新一下比較好
09/26 13:07, 47F
09/26 13:08, , 48F
至少省得哪天漏洞全串起來就慘了XD
09/26 13:08, 48F
09/26 13:09, , 49F
其實也不見得要自己重編啦 像debian系近期都改dash
09/26 13:09, 49F
09/26 13:10, , 50F
(shell script部分) 所以更新就沒那麼趕XD
09/26 13:10, 50F
09/26 13:10, , 51F
不過有用到直接指名bash的shell script就自己要小心www
09/26 13:10, 51F
09/26 13:11, , 52F
至於BSD/OS X這些 shell script都是用純正sh跑
09/26 13:11, 52F
09/26 13:11, , 53F
更沒有事XDD (雖然可能還是會出現指名bash就是...)
09/26 13:11, 53F
09/27 02:51, , 54F
幾個朋友測試一下,只要透過 Apache 的 mod_cgi 這類 cg
09/27 02:51, 54F
09/27 02:51, , 55F
i 架構方式運作,像是 cgi 程式自己本身使用 bash 所開
09/27 02:51, 55F
09/27 02:51, , 56F
發執行,或是 cgi 程式本身用 c 開發用到 system() 間
09/27 02:51, 56F
09/27 02:51, , 57F
接地呼叫 bash 來運作執行命令 ,甚至包含 perl/python
09/27 02:51, 57F
09/27 02:51, , 58F
用到 popen,system 函數呼叫間接地呼叫 bash 來運作執
09/27 02:51, 58F
09/27 02:51, , 59F
行的都會受到影響,所以可以理解安全問題頗大。不過好
09/27 02:51, 59F
09/27 02:51, , 60F
消息是 mod_php 下執行的 bash script 沒有受到影響。
09/27 02:51, 60F
09/27 03:11, , 61F
只是 fastcgi 下的 php 就..........
09/27 03:11, 61F
09/27 18:02, , 62F
樓上 有個小地方要修正 那些都是呼叫"sh"來執行的
09/27 18:02, 62F
09/27 18:03, , 63F
也就是只有在sh=bash的狀況下才會出事
09/27 18:03, 63F
09/27 18:03, , 64F
(雖然不少distro都是如此XD
09/27 18:03, 64F
更多 LINGZ 的文章
文章代碼(AID): #1K8-N2eT (Linux)
討論串 (同標題文章)
完整討論串 (本文為第 1 之 5 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共5篇)
更多 LINGZ 的文章
文章代碼(AID): #1K8-N2eT (Linux)