文/鄭先偉

Bash曝安全漏洞 威脅超“心臟出血”

文/鄭先偉

9月教育網(wǎng)整體運行平穩(wěn)，未發(fā)現(xiàn)嚴重的安全事件。近期Bash軟件曝出一個遠程利用漏洞，漏洞會影響大多數(shù)Linxu系統(tǒng)和類Unix系統(tǒng)，并且可以通過與Bash有交互的應用服務程序進行攻擊，導致此漏洞的風險級別可能要遠高于之前出現(xiàn)的Openssl的心臟滴血漏洞。由于目前還無法確定到底有多少種應用會與系統(tǒng)中的Bash交互，所以這個漏洞的帶來的風險威脅將持續(xù)很長一段時間，需要系統(tǒng)管理員長時間的關注。

分析9月新增的138個網(wǎng)站漏洞攻擊的投訴發(fā)現(xiàn)，排名前三的是SQL注入漏洞（占比44%）、權限控制漏洞（占比18%）、弱口令漏洞（占比14%）。數(shù)據(jù)說明這些漏洞多數(shù)還是開發(fā)之初沒有考慮安全因素造成，而后期管理時安全意識薄弱則是導致弱口令存在的原因。近期沒有新增特別需要關注的木馬病毒。

近期新增嚴重漏洞評述:

微軟 9月的安全公告共4個，其中1個為嚴重等級，3個為重要等級。這些公告共修補了包括Windows系統(tǒng)、IE瀏覽器、LyncServer及.NET Framework中的42個漏洞。其中IE瀏覽器中的一個漏洞（CVE-2013-7331）屬于0day且已被公開利用的漏洞，用戶應該盡快安裝相應的補丁程序，上述漏洞同樣影響Winxp系統(tǒng)中的IE瀏覽器，不過由于微軟已經(jīng)停止對Winxp的支持，所以還在使用Winxp系統(tǒng)的用戶需要從其他第三方那獲取修補方式。微軟公告的詳細信息請參見：https://technet.microsoft. com/zh-CN/library/security/ms14-Sep。

Adobe公司9月發(fā)布了2個例行安全公告，其中一個是針對Flash player軟件，用于修補該軟件中的12個安全漏洞，另一個則是針對Adobe Acrobat／Reader軟件的，公告修補了該軟件中的8個安全漏洞。Adobe相關的公告詳細信息請參見：Flash：http://helpx.adobe.com/security/ products/flash-player/apsb14-21.html，Acrobat／Reader：http://helpx.adobe.com/ security/products/reader/apsb14-20.html。

9月需要特別關注的是Bash軟件的代碼執(zhí)行漏洞（CVE-2014-6271、CVE-2014-7169），GNU Bash是Linux系統(tǒng)上使用最為廣泛的shell命令終端解析器。4.3 bash43-025（包含此版本）之前版本的Bash程序在處理環(huán)境變量的函數(shù)中存在漏洞，允許攻擊者使用畸形的參數(shù)來執(zhí)行任意系統(tǒng)命令。要想測試系統(tǒng)中的Bash是否存在漏洞，管理員可以在系統(tǒng)中輸入如下命令：

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

如果運行結(jié)果顯示如下，則表示Bash存在漏洞：

vulnerable this is a test

2014年8月～9月安全投訴事件統(tǒng)計

9月25日時，廠商發(fā)布過一版修補補丁，但是隨后發(fā)現(xiàn)這版補丁并不能有效地修補該漏洞，造成這個漏洞有兩個CVE編號（實際上對應一個漏洞）。目前各Linux廠商已經(jīng)針對該漏洞發(fā)布了有效的補丁程序，管理員可以利用各系統(tǒng)自動更新功能來升級系統(tǒng)Bash程序。

對于redhat、centos請使用如下命令：

yum ?y update bash

對于unbunt、debian請使用如下命令：

sudo apt-get update && sudo apt-get install --onlyupgrade bash

對于那些使用了Linux內(nèi)核作為操作系統(tǒng)的網(wǎng)絡設備或是其他設備也可能受到漏洞的影響，但是這類系統(tǒng)升級相對困難，需要聯(lián)系相應的廠商來進行處理。

安全提示

我們已經(jīng)在網(wǎng)絡上檢測到大量針對Bash漏洞的攻擊掃描，這些掃描多數(shù)是企圖利用Web服務中的Cgi程序來進行攻擊。如果Web服務中的Cgi程序調(diào)用了系統(tǒng)Bash，那攻擊者就可以利用該漏洞遠程執(zhí)行任意命令。目前統(tǒng)計的數(shù)據(jù)顯示還在使用Cgi程序的應用多數(shù)是一些網(wǎng)管系統(tǒng)或是專有設備（如網(wǎng)絡設備、存儲設備的控制器、VPN設備、防火墻設備等）的控制界面。對于直接搭建在Linux系統(tǒng)上的網(wǎng)管系統(tǒng)只需升級系統(tǒng)的Bash程序即可防范攻擊，而那些基于Linux內(nèi)核開發(fā)的專有設備系統(tǒng)，無法簡單單獨升級Bash程序，只能通過更新整個系統(tǒng)版本來完成升級。由于設備廠商開發(fā)新的系統(tǒng)版本往往需要較長的時間周期，所以可以預見利用該漏洞攻擊網(wǎng)絡設備或是專有設備的攻擊將會持續(xù)很長一段時間。對于那些無法及時修補漏洞的系統(tǒng)，我們建議管理員使用ACL或是防火墻規(guī)則來限制外部對這些設備的訪問以減輕漏洞帶來的風險。

（作者單位為中國教育和科研計算機網(wǎng)應急響應組）