牛牛逼逼叉叉
菜单

Bash远程命令执行漏洞CVE-2014-6271修补方案

2014年09月26日,分类《Linux》,作者:
博客捐助

Bash爆出远程解析命令执行漏洞(CVE-2014-6271),波及各大Linux发行版与MacOSX系统。漏洞可以直接在Bash支持的Web CGI环境下远程执行任意命令。

bash注入公开之后根据官方的文档发现,攻击者只要保持

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

中前四个字符不改变,也就是'(){ 固定,后面的:;}中符合规定的语法就可以进行攻击测试。虽然漏洞的影响非常大,但是相比于‘Openssl’来说,利用的环境是有限的。

执行效果图

防御bash注入的方法,首先需要更新bash,yum update下就OK了,更新到bash-4.1.2-15。

或者是添加mod_security:

Request Header values:
SecRule REQUEST_HEADERS "^\(\) {" "phase:1,deny,id:1000000,t:urlDecode,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
SERVER_PROTOCOL values:
SecRule REQUEST_LINE "\(\) {" "phase:1,deny,id:1000001,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
GET/POST names:
SecRule ARGS_NAMES "^\(\) {" "phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
GET/POST values:
SecRule ARGS "^\(\) {" "phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
File names for uploads:
SecRule  FILES_NAMES "^\(\) {"  "phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271  - Bash Attack'"

虽然有人给出了在iptable中添加规则,但是觉得在iptable中添加规则会规定的太死,不过也可以去尝试下:

iptables --append INPUT -m string --algo kmp --hex-string '|28 29 20 7B|' --jump DROP
iptables using -m string --hex-string '|28 29 20 7B|'

以上来源: FreeBuf
原文: http://www.freebuf.com/vuls/44857.html    作者: evil8

牛牛逼逼叉叉转载推荐-本文链接:http://www.nnbbxx.net/post-2123.html


 

你可以使用如下命令来检查系统存在此漏洞:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

受影响的系统包括:

红帽系可通过更新 bash 并重启系统来解决这个问题:

# yum update bash

或者:

# yum update bash-4.1.2-15.el6_5.1

此举只是更新了 bash 包,还需要重启系统才能生效。

Ubuntu 用户可以通过如下命令打补丁,无需重启:

apt-get update
apt-get install bash

以上信息牛牛逼逼叉叉转载来源至:linux公社 – http://www.linuxidc.com/Linux/2014-09/107182.htm



发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

bash曝漏洞_ShellShock:CVE-2014-6271漏洞修复

【下一篇】

告诉你如何在Chrome上运行Android应用!