新的 bash 漏洞利用 (shellshock) 的嚴重程度如何？

我一直在閱讀有關遠端 bash 漏洞利用的資訊，想知道它有多嚴重以及我是否應該擔心，尤其是在更新檔發布後發現了一個新漏洞之後。

作為使用 Debian 作為主要桌面作業系統的人，這對我意味著什麼？有什麼我應該注意的嗎？

TL;DR（又名執行摘要）

• 是的，你應該擔心。
• 是的，這很嚴重（讓完全陌生的人可能完全控制您的文件和資源）。

您絕對應該升級您的桌面以及任何伺服器。

( https://security.stackexchange.com/questions/68156/is-connecting-to-an-open-wifi-router-with-dhcp-in-linux-susceptible-to-shellshoc )

您的 DHCP 客戶端使用dhclient-script從伺服器傳遞的 shell 變數。如果有一個流氓/受損路由器，它可能會通過domain-name漏洞傳遞修改後的變數。

致謝：Stéphane Chazelas、Mark、Michal Zalewski

此外，許多桌面使用 OpenSSH，根據http://seclists.org/oss-sec/2014/q3/650 ，這絕對是易受攻擊的（儘管對於登錄使用者 - 也就是您網路上的流氓內部人員）。根據該漏洞的原始報告人Stéphane Chazelas的說法，OpenSSH 漏洞是關於繞過 sshForcedCommand設置的。

但是請注意，該問題的完整修復程序尚不可用( http://seclists.org/oss-sec/2014/q3/679 )。

有關可能的解決方法，請參閱https://access.redhat.com/articles/1200223。Debian 還沒有發布升級，我也沒有時間在他們的網站上找到相關的討論。

（注意：其次是terdon的建議；如果 Stéphane Chazelas 能寫下關於 Shellshock 的規範問答，那就太好了。）

引用自：https://unix.stackexchange.com/questions/157442