阿里云
发表主题 回复主题
  • 13756阅读
  • 6回复

[求助]bash漏洞最新补丁可被绕过

级别: 小白
发帖
45
云币
60
阿里公布的补丁已被绕过,可以继续实施攻击,希望阿里云工程师赶紧继续推出解决方案... Qu=LnGo~P  
+_v$!@L8  
lZ8CY  
lf>*Y.!@me  
漏洞验证 n9pN6,o+  
执行如下命令 }R3=fbe,\  
env x='() { :;}; echo vulnerable' bash -c "echo this is a test" ^l^fD t  
如果输出如下则表明系统受影响。 -U<Upn)2  
vulnerable |9"p|6G?B  
this is a test a9n^WOJ6  
<9=9b_z  
升级最新补丁后,执行如下命令: ky 8ep  
env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable" ,BFE=:ZIK  
如果输出如下则仍然受影响 "dR |[a<#g  
still vulnerable |/g W_;(  
t1VH doNN  
漏洞影响 pA{ 5V9  
漏洞影响Redhat、CentOS、Debian、UbuntuLinux发行版,影响的程序包括使用mod_cgi执行的Apache服务器,rsync及git服务器,调用如下函数的程序system/popen in C, by os.system/os.popen in Python, system/exec in PHP等。 OmM=o*d  
Cv$ SJc  
漏洞原因分析 f<+ 4rHT  
当bash执行fork的时候,会把函数定义存放在环境变量中,因此bash初始化时会解析每个环境变量的内容,如果以() {开头,则会当做函数处理,官方最新修复补丁已经被绕过。C、Python、PHP等语言中的函数受影响是因为这些函数会使用/bin/sh执行相应的内容,现在大部分Linux发行版/bin/sh只是一个到/bin/bash的符号链接。 @i^~0A#q*  
QDpEb=|S  
[ 此帖被晨烟洛曦在2014-09-25 22:15重新编辑 ]
关键词: Linux 升级 bash 漏洞
发帖
1463
云币
1467
只看该作者 置顶  来自6楼 发表于: 2014-09-26
— (qilu) 执行 帖内置顶 操作 (2014-09-26 09:47) —
楼主,目前解决办法是Linux官方提供的解决办法,针对此漏洞Linux官方解决办法仍然有可能会被绕过,后续我们会提供较为彻底的解决办法。已经在http://bbs.aliyun.com/read/176977.html?amp;displayMode=1&page=1&toread=1#tpc作了提示。 1b8p~-LsU  
[ 此帖被qilu在2014-09-26 09:51重新编辑 ]
级别: 菜鸟
发帖
50
云币
2
只看该作者 沙发  发表于: 2014-09-25
Rebash漏洞最新补丁可被绕过
关注啊
级别: 新人
发帖
3
云币
3
只看该作者 板凳  发表于: 2014-09-25
Rebash漏洞最新补丁可被绕过
级别: 论坛版主
发帖
291
云币
170

只看该作者 地板  发表于: 2014-09-25
Rebash漏洞最新补丁可被绕过
下午也发贴说了这个问题  但似乎没人关注 希望官方继续跟进
本人不是云栖社区工作人员。
无论您在使用中遇到什么问题,不要出言不逊!谢谢合作!
级别: 小白
发帖
45
云币
60
只看该作者 4楼 发表于: 2014-09-25
回3楼寒喵的帖子
还是翻墙去老外那边找找方法修复吧,听听他们建议
级别: 菜鸟
发帖
50
云币
2
只看该作者 5楼 发表于: 2014-09-26
Rebash漏洞最新补丁可被绕过
    
发帖
1463
云币
1467
只看该作者 6楼 发表于: 2014-09-26
— (qilu) 执行 帖内置顶 操作 (2014-09-26 09:47) —
楼主,目前解决办法是Linux官方提供的解决办法,针对此漏洞Linux官方解决办法仍然有可能会被绕过,后续我们会提供较为彻底的解决办法。已经在http://bbs.aliyun.com/read/176977.html?amp;displayMode=1&page=1&toread=1#tpc作了提示。 +xMK.*H]W  
[ 此帖被qilu在2014-09-26 09:51重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 47 - 25 = ?
上一个 下一个