macOS/Linux 巨大安全漏洞 shellshock (转载) - PDA版 - 未名存档

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

PDA版 - macOS/Linux 巨大安全漏洞 shellshock (转载)

相关主题
● ShellShock, 比起来heartbleed就是毛毛雨	● Android智能手机被曝存在安全漏洞zz
● open source极不安全啊Shellshock来了 (转载)	● Amazon发布Cloud Music Locker了
● Android 4.1.1受heartbleed影响	● 理论上一个无线网内所有装了tbaccess的机子都可以访问？
● 来个学术贴具体分析一下heartbleed的原理.	● 现在已经不少地方可以用google wallet了
● NSA 早就知道 Heartbleed，很多年！	● online security is an illusion
● IE又爆大漏洞	● wp8 vs ios
● NSA避免再爆丑闻，停止了加密软件Truecrypt的开发 (转载)	● 美国安全专家：智能手机可能成为“杀人武器” ZZ
● OpenSSL现新漏洞：或比“心脏流血”更危险手机Chrome中招 zzz	● google要真的觊觎桌面市场

相关话题的讨论汇总
话题: linux话题: bash话题: macos话题: shellshock话题: world

进入PDA版参与讨论

1

(共1页)

g**8 发帖数: 4951	1 【以下文字转载自 SanFrancisco 讨论区】发信人: onetiemyshoe (onetiemyshoe), 信区: SanFrancisco 标题: macOS/Linux 巨大安全漏洞 shellshock 发信站: BBS 未名空间站 (Thu Sep 25 11:07:15 2014, 美东) Linux, MacOS hugely impacted: http://www.zdnet.com/first-attacks-using-shellshock-bash-bug-di more analysis: http://www.troyhunt.com/2014/09/everything-you-need-to-know-abo
g**8 发帖数: 4951	2 发信人: go88 (旧友重来), 信区: SanFrancisco 标题: Re: macOS/Linux 巨大安全漏洞 shellshock 发信站: BBS 未名空间站 (Fri Sep 26 04:55:57 2014, 美东) 谢谢楼主的贴。这么大的新闻居然没人讨论? 这里是这次事情的wiki，整个事情还在不断更新 http://en.wikipedia.org/w/index.php?title=Shellshock_%28softwar 上班的电脑不算，我自己的电脑自从Ｎ年前开始就只用linux了。结果今晚我根据 wiki上给出的命令做了个测试，结果我的这个比较新的某linux distribution也有问题，当然，目前所有没有patch的linux系统应该全都有问题。。。我记得很早的时候,unix上default的shell是sh,csh, tcsh这样的shell, bash是后来随着linux才开始流行起来的，现在需要看看这次这个bash的漏洞，那个env variable使用上的漏洞，是从bash最初版本就有的，还是随着linux从linux的open source阵营带进来的，什么时候带进来的具体check-in,我还没更多阅读，冒昧臆测的话，不知是否如同上次那个heartbleed，也有可能是人故意埋的bug，上次那个heartbleed是个德国人某年的新年夜check-in的，而且他的其他open-ssl的chek-in也被发现有问题。。。如果仔细看的话，上次那个heartbleed和这次这个漏洞的风格和手法非常类似。。。附：漏洞具体内容 CVE-2014-6271 vulnerability details Bash supports exporting Bash function definitions inside environment variables. For example, the following defines a "hello world" function inside environment variable named, "HELLO_WORLD_VAR" HELLO_WORLD_VAR=() {echo "Hello World";}; Note that the function is defined only, not executed, when Bash starts. The bug is that Bash did not stop parsing at the end of the function, but instead, continued interpreting. So if an attacker could set the value of the environment variable to, for example, HELLO_WORLD_VAR=() {echo "Hello World";}; rm /path/to/file Then Bash first would define, but not execute, the function (only defining it is harmless), but immediately, execute the malicious command "rm /path/to /file", effectively giving shell access to the attacker. The attacker would still have to get his code inserted into an environment variable, but many Internet-facing daemons will insert user-supplied code into an environment variable, since it normally would be considered harmless. 貌似这个在环境变量里设置函数定义的做法，几乎就是为网站类网络互动action量身定做的，新闻里提到的cgi就是典型，我过去出于娱乐简单做过一个用leobbs开发的网站，就是cgi based，黑客就可以用这样的手段在其登录或者发帖的code里远段设定一些非常无辜的环境变量，里面函数设定，比如笑脸表情加动态条件等等，然后后面就可以跟邪恶的命令了，比如动态改动admin权限的cgi scrip内容，短暂取消权限限制，然后下一个类似动作再改回去，呵呵。。。所以非常有必要看看这个bash的漏洞是什么时候，被谁带进来的。。。 cgi是比较旧的东西了，我也不是做纯网络应用的，不知道现在其他新的网站管理软件是否有类似问题，像咱们大家一般用linux如果只是简单用户，不做网站什么的，应该不会有太大问题。当然，新闻里说ssh也有问题，我还没仔细阅读，但是想必如果我们 disable ssh，总之一般的linux普通用户，不知道有多大影响。。。
y**b 发帖数: 10166	3 管他原因，先patch再说
w*******d 发帖数: 295	4 看的有些晕
l*****o 发帖数: 9235	5 谁给仔细讲讲，我虽然用linux，但是懂的不多。
S*********g 发帖数: 99	6 把一个函数声明复制给一个变量，后面加个分号，还能用继续其他命令，比如 env x='(){echo 'ass'}; rm -rf /' 在很多server中，有一些将收到的字符串直接在shell里做exec(),所以字符串里的东西都会被赋值到环境变量。比如某个attacker发送一个http request，ua字符串自己设为上边那一个，然后server 端某些程序可能会将它加载到环境变量中。 shell初始化的时候，恶意命令就会执行。【在 l****o 的大作中提到】 : 谁给仔细讲讲，我虽然用linux，但是懂的不多。
k***e 发帖数: 7933	7 就是。怎么patch？【在 y**b 的大作中提到】 : 管他原因，先patch再说
n******7 发帖数: 12463	8 用debian就是 apt-get update apt-get install bash done 【在 k***e 的大作中提到】 : 就是。怎么patch？
y**b 发帖数: 10166	9 Red hat: yum update bash 【在 k***e 的大作中提到】 : 就是。怎么patch？

1

(共1页)

进入PDA版参与讨论

相关主题
● google要真的觊觎桌面市场	● NSA 早就知道 Heartbleed，很多年！
● 没有人讨论Android master key exploit?	● IE又爆大漏洞
● 现在看了iphone1的保密工作很好	● NSA避免再爆丑闻，停止了加密软件Truecrypt的开发 (转载)
● 带电脑回国的，电脑有没有出现异常？	● OpenSSL现新漏洞：或比“心脏流血”更危险手机Chrome中招 zzz
● ShellShock, 比起来heartbleed就是毛毛雨	● Android智能手机被曝存在安全漏洞zz
● open source极不安全啊Shellshock来了 (转载)	● Amazon发布Cloud Music Locker了
● Android 4.1.1受heartbleed影响	● 理论上一个无线网内所有装了tbaccess的机子都可以访问？
● 来个学术贴具体分析一下heartbleed的原理.	● 现在已经不少地方可以用google wallet了

相关话题的讨论汇总
话题: linux话题: bash话题: macos话题: shellshock话题: world

未名新帖统计// 7月16日

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

* 这里只显示发帖超过25的版面，努力灌水吧:-)