Shellshock爆發，“心血漏洞”卷土重來

一個新的漏洞在昨天被發現，它代號“ Shellshock”（安全實驗室翻譯其中文名為“破殼”），屬高危漏洞，被安全人士一致認為影響范圍可以與今年4月份出現的“心臟出血/Heartbleed ”漏洞相比。

產生“ Shellshock”漏洞的程序叫做bash。

這是一個比OpenSSL還要古老的開源程序，它正式誕生至今已有25年。bash屬于命令行程序，你可以類比于Windows下的“cmd”，但它的功能還要強大。簡單的說，bash是Linux系統的“命令行”桌面之一，通過向它輸入指令，你才能操作電腦。

bash的市場占有率極高。它內置在世界上絕大多數Linux及UNIX系統內，并是大多數Linux、v10.4以上的OS X、移植到Windows平臺的Cygwin等系統的默認Shell，也就是前邊所說的“命令行”桌面。

通過“ Shellshock”漏洞，黑客可以遠程完全控制該系統。

“ Shellshock”利用了bash環境變量的不當處理漏洞，它可以引發惡意類型的遠程執行代碼。換句話說，借助這個漏洞，黑客可以非常隱蔽的在系統中執行命令，從而有可能獲取最高權限。360安全研究員redrain表示，只要這臺設備在公網內，就可以利用“ Shellshock”。

目前追溯到bash受影響的范圍，從v1.13到最新的v4.3，幾乎涉及它公開發布的所有版本。

“ Shellshock”對網站服務器、物聯網產品、工控設備等影響非常大。

目前來看，Windows用戶基本不受影響，因為沒安裝bash；Mac用戶默認預裝了bash，還需要等待蘋果官方的回應，目前實測最新版存在此漏洞；互聯網網站可能會有大范圍受影響，目前國內已經出現第一起利用實例；采用Linux核心的物聯網和工控設備同樣非常容易受到攻擊。

目前狀況

bash在昨天下午推出一版安全更新，但據說并未完全解決漏洞，還有利用方法。國內多家安全機構正在研究這一漏洞，預計近兩天會有漏洞的詳細分析出來。不過鑒于絕大多數工控以及物聯網設備并不注重安全，這次受影響的是bash的所有版本，老舊設備可能無法得到更新，它的影響會更深遠。

雷鋒網將持續關注此事。

附：安天實驗室給出了一個驗證漏洞的方法，在命令行/shell中執行下面命令：

env x='() { :;}; echo VulnerableCVE-2014-6271 ' bash -c "echo test"

執行命令后，如果顯示VulnerableCVE-2014-6271，則證明系統存在漏洞，（黑客）可改變echo VulnerableCVE-2014-6271為任意命令進行執行。

部分信息引自readwrite、安天實驗室

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。