Bash
新的 bash 漏洞利用 (shellshock) 的嚴重程度如何?
我一直在閱讀有關遠端 bash 漏洞利用的資訊,想知道它有多嚴重以及我是否應該擔心,尤其是在更新檔發布後發現了一個新漏洞之後。
作為使用 Debian 作為主要桌面作業系統的人,這對我意味著什麼?有什麼我應該注意的嗎?
TL;DR(又名執行摘要)
- 是的,你應該擔心。
- 是的,這很嚴重(讓完全陌生的人可能完全控制您的文件和資源)。
您絕對應該升級您的桌面以及任何伺服器。
您的 DHCP 客戶端使用
dhclient-script
從伺服器傳遞的 shell 變數。如果有一個流氓/受損路由器,它可能會通過domain-name
漏洞傳遞修改後的變數。致謝:Stéphane Chazelas、Mark、Michal Zalewski
此外,許多桌面使用 OpenSSH,根據http://seclists.org/oss-sec/2014/q3/650 ,這絕對是易受攻擊的(儘管對於登錄使用者 - 也就是您網路上的流氓內部人員)。根據該漏洞的原始報告人Stéphane Chazelas的說法,OpenSSH 漏洞是關於繞過 ssh
ForcedCommand
設置的。但是請注意,該問題的完整修復程序尚不可用( http://seclists.org/oss-sec/2014/q3/679 )。
有關可能的解決方法,請參閱https://access.redhat.com/articles/1200223。Debian 還沒有發布升級,我也沒有時間在他們的網站上找到相關的討論。
(注意:其次是terdon的建議;如果 Stéphane Chazelas 能寫下關於 Shellshock 的規範問答,那就太好了。)