日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

2014年9月24日，外媒曝出一個(gè)廣泛存在于主流操作系統(tǒng)的漏洞bash，該漏洞會(huì)影響到Redhat、CentOS、Ubuntu、Debian、Fedora 、Amazon Linux、OS X 10.10等平臺(tái)，預(yù)計(jì)影響范圍和縱深程度都可能匹敵或者超過(guò)今年4月發(fā)現(xiàn)的“心臟流血”(Heartbleed)漏洞。

成都創(chuàng)新互聯(lián)公司是一家集網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站制作、網(wǎng)站頁(yè)面設(shè)計(jì)、網(wǎng)站優(yōu)化SEO優(yōu)化為一體的專(zhuān)業(yè)網(wǎng)絡(luò)公司，已為成都等多地近百家企業(yè)提供網(wǎng)站建設(shè)服務(wù)。追求良好的瀏覽體驗(yàn),以探求精品塑造與理念升華,設(shè)計(jì)最適合用戶的網(wǎng)站頁(yè)面。 合作只是第一步，服務(wù)才是根本,我們始終堅(jiān)持講誠(chéng)信，負(fù)責(zé)任的原則，為您進(jìn)行細(xì)心、貼心、認(rèn)真的服務(wù),與眾多客戶在蓬勃發(fā)展的市場(chǎng)環(huán)境中,互促共生。

9月25日，安天實(shí)驗(yàn)室安全分析團(tuán)隊(duì)經(jīng)過(guò)與兄弟廠商的討論，最終決定將此此漏洞中文名命名為“破殼”，并于25日一早將此漏洞上報(bào)至國(guó)家相關(guān)管理部門(mén)。

據(jù)安天工程師介紹，bash應(yīng)用于主流操作系統(tǒng)Unix、Linux、Mac OS上，甚至在Windows和移動(dòng)Andriod系統(tǒng)上也都有應(yīng)用。所以此漏洞的影響范圍可以涵蓋大部分的服務(wù)器，蘋(píng)果PC機(jī)、甚至可能包括Andriod平臺(tái)。目前的bash腳本是以通過(guò)導(dǎo)出環(huán)境變量的方式支持自定義函數(shù)，也可將自定義的bash函數(shù)傳遞給子相關(guān)進(jìn)程。一般函數(shù)體內(nèi)的代碼是不會(huì)被執(zhí)行，但此漏洞會(huì)錯(cuò)誤的將“{}”花括號(hào)外的命令進(jìn)行執(zhí)行。

驗(yàn)證方式：

在shell中執(zhí)行下面命令：

env x='() { :;}; echo VulnerableCVE-2014-6271 ' bash -c "echo test"

執(zhí)行命令后，如果顯示VulnerableCVE-2014-6271，則證明系統(tǒng)存在漏洞，可改變echo VulnerableCVE-2014-6271為任意命令進(jìn)行執(zhí)行。

1. Linux Debian操作系統(tǒng)漏洞驗(yàn)證如下：

2. 蘋(píng)果操作系統(tǒng)(OS X 10.10)漏洞驗(yàn)證如下：

“破殼”可能帶來(lái)的影響在于：1，此漏洞可以繞過(guò)ForceCommand在sshd中的配置，從而執(zhí)行任意命令。2，如果CGI腳本用bash或subshell編寫(xiě)，則使用mod_cgi或mod_cgid的Apache服務(wù)器會(huì)受到影響。3，DHCP客戶端調(diào)用shell腳本來(lái)配置系統(tǒng)，可能存在允許任意命令執(zhí)行，尤其作為根命令的形式，在DHCP客戶端的機(jī)器上運(yùn)行。4，各種daemon和SUID/privileged的程序都可能執(zhí)行shell腳本，通過(guò)用戶設(shè)置或影響環(huán)境變數(shù)值，允許任意命令運(yùn)行。

安天實(shí)驗(yàn)室同時(shí)建議，由于此漏洞為高危漏洞，用戶可以根據(jù)上述漏洞驗(yàn)證方法進(jìn)行驗(yàn)證判定，如確定存在漏洞，則針對(duì)下圖給出的主要漏洞影響平臺(tái)及版本中的解決方案進(jìn)行版本更新。

文章名稱(chēng)：漏洞bash近日“破殼”當(dāng)心再次“心臟出血”
網(wǎng)站URL：http://m.5511xx.com/article/dpeiejc.html