求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Modeler   Code  
会员   
 
  
 
 
     
   
分享到
比“心脏流血”还危险?详解Bash漏洞安全事件!
 
     作者 张勇 火龙果软件 发布于 2014-9-28  
 
很多人或许对上半年发生的安全问题“心脏流血”事件记忆颇深,现在又出现了一个“毁灭级”漏洞——Bash软件安全漏洞。谁是Bash漏洞的发现者?它为什么会有这么大影响?这个漏洞真的很严重,还只是大家的添油加醋?


很多人或许对上半年发生的安全问题“心脏流血”(Heartbleed Bug)事件记忆颇深,然而仅时隔几个月,又出现了另外一个“毁灭级”的漏洞——Bash软件安全漏洞。

谁是Bash漏洞的发现者?

据iThome网站报道,Bash漏洞是由法国GNU/Linux爱好者Stéphane Chazelas所发现。

随后,美国电脑紧急应变中心(US-CERT)、红帽以及多家从事安全的公司于周三(北京时间9月24日)发出警告。 

为什么说Bash安全漏洞是毁灭级的?

业内人士都知道,Bash是Unix Shell的一种。虽然当初的Bash编写是为了GNU计划而编写,打算用在GNU操作系统上,但它能运行于大多数类Unix操作系统上,这包括Linux与Mac OS系统。

百度百科的介绍显示,Bash(GNU Bourne-Again Shell)是大多数Linux系统以及Mac OS X v10.4默认的shell,它能运行于大多数Unix风格的操作系统之上,甚至被移植到了Microsoft Windows上的Cygwin系统中,以实现Windows的POSIX虚拟接口。此外,它也被DJGPP项目移植到了MS-DOS上。

而Bash的命令语法是Bourne shell命令语法的超集。数量庞大的Bourne shell脚本大多不经修改即可以在Bash中执行,只有那些引用了Bourne特殊变量或使用了Bourne的内置命令的脚本才需要修改。可以说,Bash是类Unix系统的核心,如果Bash出现了漏洞,则说明攻击者可以控制机器一切。

Bash漏洞现在带来的影响?

据悉,这个Bash漏洞为远程解析命令执行漏洞(CVE-2014-6271),可以直接在Bash支持的Web CGI环境下远程执行任何命令。这也就使得一些路由器、堡垒机、VPN等网络设备将会成为重灾区,另外各大Linux发行版和Mac OS X系统都受影响,甚至Android也会受到影响。 

据乌云漏洞报告平台称,这个漏洞对一般的网站影响并不大,但对那些受到影响的网站却是很“凶残”,因为之前声称所能使用的补丁,黑客可以轻松绕过。 

乌云知识库称,目前Shellshock蠕虫已经开始传播。从漏洞披露到蠕虫病毒出现,也就一天时间,时间间隔非常短,说明这或许真的是一场互联网安全领域的“灾难”。

值得一提的是,目前负责维护Bash Shell的Chet Ramey已经修补该漏洞,更新Bash 3.0至Bash 4.3的版本,可以运行:yum update -y bash进行升级处理。不过新版本Bash是否完全解决了安全问题,目前仍不得而知。

是添油加醋还是真的很严重?

网络安全公司Rapid7工程部经理Tod Beardsley称,Bash漏洞危险几倍很高,但利用复杂度为“低”,只要剪切和粘贴一行代码即可,意味着黑客可以很轻松地利用发起攻击,这从一定程度上又加剧了互联网安全灾难。另外,网络安全公司Trail of Bits的CEO Dan Guido指出,不同于“heartbleed”漏洞,Bash漏洞能取得用户电脑控制权。


据一位叫djvu9的微博用户称,目前已经可以通过DHCP server来远程执行代码了,说不定拿个安卓手机去各种敏感场所,然后做个热点再把SSID改成什么CMCC Free WiFi就行了。 

然而一位叫meng_bo的微博用户对这个漏洞有点不以为然,他在微博中称:“整的跟多大事情似的,实际没有多少应用涉及这个事情,谁没事做拿Bash写CGI呢? 也就git这类应用受影响吧。”而用户则指出,Redhat博客已经说明,Git/SVN都有中招的可能。

知乎一名叫“Rix Tox”的用户称,不过就目前得到的信息来看,该漏洞虽然可以造成很严重的破坏,但不见得影响范围就比Heartbleed要大。该漏洞主要影响的是CGI程序,通过注入HTTP字段让Bash在初始化环境变量的时候执行任意Bash命令。具体来说,感觉跟SQL注入有点类似,不过这个更加严重一点,因为直接有执行系统命令的权限。

但据业内人士称,暂时无法估计这个安全漏洞影响究竟多大,就像当时无法预估究竟有多少人在使用内含Heartbleed漏洞的OpenSSL一样。是的,有大量软件以某种方式与Shell交互,所以根本没有办法列出受该漏洞影响的所有软件。 另外,由于该漏洞已经在Linux中存在很长时间,所以修补某个Linux很容易,但是要全部修补,不太容易实现。

不管怎么说,只要出现漏洞,都应得到重视。目前,国内安全实验室安天对漏洞带来的影响进行了总结:
  • 此漏洞可以绕过ForceCommand在sshd中的配置,从而执行任意命令。
  • 如果CGI脚本用Bash或subshell编写,则使用mod_cgi或mod_cgid的Apache服务器会受到影响。
  • DHCP客户端调用shell脚本来配置系统,可能存在允许任意命令执行,尤其作为根命令的形式,在DHCP客户端的机器上运行。
  • 各种daemon和SUID/privileged的程序都可能执行shell脚本,通过用户设置或影响环境变数值,允许任意命令运行。

业内人士称,严格意义上漏洞不应归咎于Bash

知乎用户Rix Tox在接受CSDN采访时称,这个漏洞只对服务器造成影响,个人电脑没有开启网络服务的话其实是没有什么威胁可言的。

严格来说这个漏洞不应该归咎于Bash,而应该归咎于CGI的服务端程序,如FastCGI。环境变量在初始化之前应该先考虑注入的可能性,Bash给了你灵活性,你的程序没有考虑全面这不应该怪Bash。就好比SQL注入的问题难道要怪SQL吗?

其实CGI之类的程序很容易有类似的漏洞,最好在架设这些服务的时候考虑到用户权限的问题,隔离系统权限,把风险降到最低。

结束语

在曝光Bash漏洞后,有人开玩笑称,Windows系统终于胜出了一局。其实,不论是Linux、Unix,还是Windows,计算机的安全永远都是相对的。就拿Bash漏洞来说,或许这个漏洞早已在地下传播很久,最近才曝出来,只是因为有良心的人愿意披露出来而已……所以永远都没有绝对安全的系统,安全也只是暂时没有曝光或没发现漏洞而已。

不过好在这个漏洞终于曝光,得到了所有人关注,相信曝光的越彻底,修复也将会越彻底。
 
分享到
 
 
 
 



利用Gitlab和Jenkins做CI
CPU深度学习推理部署优化
九种跨域方式实现原理
 
 讲座 设计模式C语言
 讲师:薛卫国
 时间:2019-4-20
 
 
每天2个文档/视频
扫描微信二维码订阅
订阅技术月刊
获得每月300个技术资源
 
希望我们的资料可以帮助你学习,也欢迎投稿&提建议给我
频道编辑:winner
邮       件:winner@uml.net.cn

关于我们 | 联系我们 | 京ICP备10020922号 京公海网安备110108001071号