巴什,又名伯恩-再次壳牌,有一个新发现的安全漏洞。而且,对于许多Unix或LinuxWeb服务器来说,这是一个主要问题。
该漏洞涉及Bash如何评估环境变量。通过巧尽心思构建的变量,黑客可以使用这个漏洞执行shell命令。这反过来又会使服务器更容易受到更大的攻击。
这本身就是其中一个安全漏洞,攻击者已经需要具有很高的系统访问级别,从而造成损坏。不幸的是,正如RedHat的安全团队提出的那样,”某些服务和应用程序允许远程未经身份验证的攻击者提供环境变量,允许攻击者利用此问题。”。
第一次使用“贝休克”Bash bug发现的攻击
安全研究人员发现了第一个使用新巴什漏洞的恶意软件。
问题的根源在于,Bash经常被用作系统壳。因此,如果应用程序经由WebHTTP或公共网关接口(CGI)调用BashShell命令,从而允许用户插入数据,则Web服务器可能被黑客攻击。正如AkamaiTechnologies的首席安保官AndyEllis写道:”此漏洞可能会影响评估用户输入的许多应用程序,并通过shell调用其他应用程序。”
最危险的情况是,如果您的应用程序调用具有超级用户(即根)权限的脚本。如果是这样,你的攻击者可能会在你的服务器上被谋杀。
你能做什么?首先,您应该对Web应用程序“”输入进行消毒。如果您已经针对此类常见攻击做了跨站点脚本(XSS)或SQL注入,您将已经有一些保护。
接下来,我将禁用调用shell的任何CGI脚本。(我还想知道你为什么还在使用一种21年前允许用户与你的Web服务交互的方式。您可能希望利用这一机会一劳永逸地替换CGI脚本。)
之后,我会按照Akamai的建议,“从使用Bash到另一个shell”。但是请记住,替代shell不会使用完全相同的语法,而且它可能没有所有相同的特性。这意味着,如果您尝试此修复,您的一些web应用程序可能会开始运行。
当然,真正的修复将是用新的、安全的方法来替换损坏的Bash。自9月24日上午,Bash的开发人员修补了所有当前版本的Bash,从3.0到4.3。此时,只有Debian和RedHat获得准备好使用的已包装修补程序。
OpenSSH还可以通过使用AcceptEnv变量、术语和SSH_INCONERE_MARITOR进行攻击。但是,由于要访问已经在经过身份验证的会话中已经需要的会话,所以相对来说是安全的。尽管如此,如果您阻止非管理用户使用OpenSSH,直到修复了底层的Bash问题,您仍然会更安全。
这是额外的工作,但如果我是一名系统管理员,我不会等待我的Unix或Linux分发服务器将一个现成的补丁交付给我。我会自己编译修补的Bash代码,并将其放在适当的位置。
这可不是用来胡闹的虫子。它有可能对你的系统造成破坏。更糟糕的是,聪明的攻击者可能会在事后留下恶意软件地雷来窃取数据。
正如埃利斯说的,”你有任何制度妥协的证据吗?不,不幸的是,这不是”不”,我们有证据表明没有妥协;”相反,”我们没有证据,跨越了这个漏洞的一生。”我们怀疑许多人都这样做,这让系统所有人不知道什么,如果有的话,妥协可能会发生。”
所以现在修补这个错误,否则你会后悔的。