Bash高危安全漏洞 威胁远胜“心脏出血”

这几天Linux用户们可能不能愉快地玩耍了，红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞。其带来的威胁可能比早前披露的“心脏出血”漏洞更大更强！

据路透社报道，网络专家周三警告称，他们在普遍使用的Linux软件Bash中新发现了一个安全漏洞。该漏洞对电脑用户构成的威胁可能比今年4月发现的“心脏流血”(Heartbleed)漏洞更大。Bash是一款软件，被用于控制众多Linux电脑上的命令提示符。这个最新被披露的bash漏洞代号为Bash bug或Shellshock。当用户正常访问时，只要shell是唤醒状态，这个漏洞就容许***者执行任意代码命令，简直就是为各类各样的******敞开了大门！更糟的是，这个漏洞在企业级软件中存在好长时间了！

美国国土安所有下属计算机紧急响应小组(US-CERT)发布警告称，Bash漏洞将影响基于Unix平台的操做系统，包括Linux和Mac OS X。US-CERT建议电脑用户从软件开发商处获取系统更新。US-CERT称，包括红帽在内的Linux系统提供商已经准备好了更新补丁，但未说起OS X是否提供系统更新。苹果发言人没法取得联系。

可是谷歌安全研究员塔维斯·奥曼迪(Tavis Ormandy)在Twitter上表示，Linux系统提供商推出的补丁彷佛“并不完整”，这引起了几位安全专家的担心。

网络安全公司Rapid7工程部经理托德·贝尔德斯利(Tod Beardsley)警告称，Bash漏洞的严重级别为“10”，意味着它对用户电脑的威胁最大。Bash漏洞的利用复杂度级别为“低”，意味着***能够相对轻松地利用它发动***。

另有网络安全公司Trail of Bits的CEO丹·古德(Dan Guido)表示，“心脏流血”漏洞可以容许***监控用户电脑，但不会取得控制权。此外，利用Bash漏洞的方法也更简单——只须要剪切和粘贴一行代码便可。

安全勘误员 Robert David已经将Bash漏洞与"心脏出血“作对比，发现bash 漏洞对系统安全的影响将长期存在，而且普遍影响。“软件有一个巨大的比例是以某种形式相互影响着的，咱们将永远没法找出软件易受bug影响编目在哪里！"伯克利大学ICSI技术研究员也很悲观地赞成Robert David的见解！他补充说道：“这bug很微妙，很邪恶，并将会伴随咱们多年。”

Redhat官方提供检测方式

运行命令：  

  $ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"

若是返回以下内容，则请尽快升级。

vulnerable this is a test

“心脏流血”是今年4月在开源加密软件OpenSSL中发现的一处漏洞。因为OpenSSL已用于全球三分之二的网站中，因此“心脏流血”漏洞对数百万人的数据构成了威胁。该漏洞迫使数十家科技司为数百款使用OpenSSL的产品发布了安全补丁。