Bash安全缺陷验证及修复方法(9月26日更新版,来自UCloud)

一、漏洞概述

GNU bash在处理环境变量中的函数定义时,存在一个缺陷,在处理完函数定义之后会继续执行函数体后面的命令。通过构建特殊的环境变量,可以执行任意的命令。攻击者可以利用此缺陷重写或绕过环境变量的限制,执行shell命令,从而导致信息泄漏、未授权的恶意修改、服务中断。但是由于官方对CVE-2014-6271的修复不完整,导致该问题依然存在,CVE又给予了新的漏洞编号CVE-2014-7169。

下面是验证过程:

     [root@10-4-2-230 bash-4.2]# env -i  X='() { (a)=>\’ bash -c ‘echo date’; cat echo

bash: X: line 1: syntax error near unexpected token `=’

bash: X: line 1: `’

bash: error importing function definition for `X’

Fri Sep 26 11:31:13 CST 2014  

 

能成功显示上面的时间说明存在该漏洞;

二、受影响版本

目前GNU bash4.3及以下版本都存在此问题。

三、利用场景

如下软件或应用会受到影响:

1、httpd

CGI脚本是最容易收到此问题影响的。当web server允许CGI脚本的时候,它使用环境变量传递参数给脚本,而这个环境变量是可以被攻击者控制的,如果CGI脚本调用了bash,那么脚本就会以允许web server的用户权限执行任意命令。但是mod_php,mod_perl和mod_python由于不使用环境变量传递参数,因此不会受影响。

2、SSH

在rsync和git这些软件中,经常通过ssh执行一些受限的命令,但是受bash漏洞的影响,这些软件可以执行任意命令,不仅仅是受限的命令。

从目前的利用情况来看,上述两种方法是目前利用较多,而且可以远程利用的,尤其是CGI的利用方式。

四、修复方法

1、centos/redhat 修复方法:

yum clean all

yum –enablerepo=updates install bash

 

2、ubuntu修复方法:

14.04 64位系统:

wget http://launchpadlibrarian.net/185793661/bash_4.3-7ubuntu1.3_amd64.deb

dpkg -i bash_4.3-7ubuntu1.3_amd64.deb

 

14.04 32位系统:

wget http://launchpadlibrarian.net/185793608/bash_4.3-7ubuntu1.3_i386.deb

dpkg -i bash_4.3-7ubuntu1.3_i386.deb

 

ubuntu其它发行版请参考链接:

https://launchpad.net/ubuntu/+source/bash

 

如果安装过程中有任何疑问,请联系工作人员。

 

 

五、验证方法

验证是否存在此漏洞的方法:

     [root@10-4-2-230 bash-4.2]# env -i  X='() { (a)=>\’ bash -c ‘echo date’; cat echo

bash: X: line 1: syntax error near unexpected token `=’

bash: X: line 1: `’

bash: error importing function definition for `X’

Fri Sep 26 11:31:13 CST 2014  

能成功显示上面的时间说明存在该漏洞;

 

漏洞修复之后,再执行该命令:

     [root@10-4-2-230 bash-4.2]# env -i  X='() { (a)=>\’ bash -c ‘echo date’; cat echo

     bash: X: line 1: syntax error near unexpected token `=’

bash: X: line 1: `’

bash: error importing function definition for `X’

cat: echo: No such file or directory

上面没有显示时间,说明该漏洞已经被修复;

 

六、参考链接

https://access.redhat.com/articles/1200223

https://bugzilla.redhat.com/show_bug.cgi?id=1146319

https://rhn.redhat.com/errata/RHSA-2014-1306.html

https://launchpad.net/ubuntu/+source/bash

https://www.invisiblethreat.ca/2014/09/cve-2014-6271/

 

除非注明,本站所有文章皆为原创,转载请以链接形式标明本文地址。

原文地址:

相关话题: