1
2
3
4
5
6
SOC 通 報:第一級[資安預警通報]案件

評估近期所發佈的bash漏洞後,IBM X-Force團隊將網際網路安全威脅等級由1提升至2級。bash是許多Linux 和Unix-Like 作業系統預設的command-line interpreter (CLI,命令提示直譯器)。一個bash處理環境變數方法的漏洞己被公開,編號為(CVE-2014-6271)。如果一塍 環境變數包含一個函數定義之外的shell 指令,然後透過調用bash使用非環境變數定義的shell,該shell指令將被執行。通常,bash將運行在其中的環境變量定義的上下文中其將只允許用戶執行先前授權的活動。然而,在環境變量在不同的安全域指定的情況下,有可能利用此漏洞執行任意shell命令。可能的受攻擊目標包含,修改SSH 的設定使其可使用ForceCommand指令或其他類似的指令、APACHE網頁伺服器允許執行CGI 腳本、DHCP使用者端連線到惡意的DHCP伺服器,和其他透過使用bash所執行的程式皆有可能遭遇到相同的情況。目前各大linux作業系統已陸續更新bash Patch受影響的版本遍佈bash:1.14.0至bash:4.3。自我檢測方式:1.於unix-like作業系統底下執行 env x='() { :;}; echo vulnerable' bash -c "echo this is a test",當輸出下列文字時 vulnerable this is a test 代表您的bash為受影響的版本。2.當bash己被修復至最新版本或非使用受影響的版桍 時,於unix-like作業系統底下執行env x='() { :;}; echo vulnerable' bash -c "echo this is a test",應當輪出下列文字 bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test 代表您的bash為非受影響的版本。參考網址:http://www.linuxcompatible.org/news/story/bashhaprox_security_updates_for_centos.html#40039http://seclists.org/oss-sec/2014/q3/650 https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-the-remote-exploit-cve-2014-6271

處置建議:
目前各大linux作業系統已陸續更新bash PatchCentos redhat 用! 戶可參考下列指令進行更新,後使用自我檢測方式進行確認。# yum update bashUbuntu 用戶可參考下列指令進行更新,後使用自我檢測方式進行確認。# apt-get install --only-upgrade bashMAC OSX用戶可參考下列網址進行bash更新http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-the-remote-exploit-cve-2014-6271