Linux 上的 Bash 程式碼注入漏洞
在 Linux 中發現一個 bug,一個 bash 程式碼注入漏洞。
解決此問題的方法是更新
bash軟體包。yum update bash我的問題是“我需要重新啟動系統”嗎?我們的環境中有 4000 台伺服器,很難在所有系統上重新啟動。
您可以簡單地閱讀有關此漏洞的文件並更新說明。例如 redhat 提供了非常詳細的資訊:
安裝 CVE-2014-6271 和 CVE-2014-7169 更新後是否需要重新啟動或重新啟動服務?
如果您的系統使用導出的 Bash 函式,建議重新啟動受影響的服務。受影響的互動式使用者可能需要重新登錄,並且可能需要重新啟動 screen 或 tmux 會話。
為解決這些問題而提供的 Bash 更新更改了環境中導出函式的名稱。如果一個函式是由舊版本的 Bash 導出的,那麼更新後新啟動的 Bash 程序將無法辨識該函式,並且本質上是未定義的。重新啟動服務可確保新版本的 Bash 以預期名稱導出函式,使其再次可見。
要找出哪些服務需要重新啟動(或者哪些使用者必須重新登錄),請在更新後執行以下命令:
$ grep -l -z '
$$ ^) $$=() {’ /proc/$$ 1-9 $$*/環境 | 剪切 -d/ -f3 返回的 PID 屬於在其環境中使用舊導出函式定義的程序。必須重新啟動這些程序。要發現哪個服務啟動了某個 PID 並需要重新啟動,在 Red Hat Enterprise Linux 7 上,使用以下命令:
$ systemctl 狀態
在 Red Hat Enterprise Linux 6 和更早版本上,使用 pstree -p 或 ps -axuf 命令並查找特定的 PID。
PS。如果您有 4000 台伺服器,那麼您絕對應該聘請可以執行所有維護工作的人。至少有這樣的基本問題。