GNU Bash环境变量远程命令执行漏洞(CVE-2014-6271)
一、 受影响系统
GNU Bash<=4.3 即当前所有的Linux/Unix/MAC OS/Cygwin等操作系统
二、 描述
GNUBash4.3及之前版本在评估某些构造的环境变量时存在安全漏洞向环境变量值内的函数定义后添加多余的字符串会触发此漏洞攻击者可利用此漏洞改变或绕过环境限制以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用bash shel l之前可以用构造的值创建环境变量。这些变量可以包含代码在shel l被调用后会被立即执行。这个漏洞被业界称为“毁灭级”的。
此漏洞可能会影响到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服务器、 DHCP客户端、其他使用bash作为解释器的应用等。
参 考 Gitlab-shel l 受 Bash CVE-2014-6271 漏 洞 影 响http://www. l inuxidc.com/Linux/2014-09/107181.htm
三、 解决方案注意网络上广为流传的使用yum或者apt-get工具升级到最新版本的
做法当前都还不可靠不会升级到最新版本 因此务必要用以下方案二源代码方式升
级到最新版本
方案一若确认无受影响的应用程序则可将用户默认使用shel l改为csh或者其他shel l 若无则需安装
方案二升级bash到最新版本最新补丁。步骤如下
1、去http://ftp.gnu.org/gnu/bash/下载最新版本bash及其最新补丁文件 bash-4.3.tar.gz 和bash43-025.txt
2、确认当前操作系统具备m a ke、 g cc等基本编译软件如果没有需先进行安装3、将下载的bash文件放入到某个文件夹然后按一下步骤依次进行解压、打补丁、配置、编译、安装等。tar zxvf bash-4.3.tar.gz cp bash43-025.txt bash-4.3cd bash-4.3
patch-p0<bash43-025.txt
./configure make make instal l
4、修改/etc/passwd文件将其中所有的“/bin/bash”替换成“/usr/local/bin/bash”退出当前shel l 重新登录使用bash --version命令验证是否已经升级为4.3版本若已确认则删除旧版本文件/bin/bash文件。
hostodo怎么样?快到了7月4日美国独立日,hostodo现在推出了VPS大促销活动,提供4款Hostodo美国独立日活动便宜VPS,相当于7折,低至$13/年,续费同价。Hostodo美国独立日活动结束时间不定,活动机售完即止。Hostodo商家支持加密数字货币、信用卡、PayPal、支付宝、银联等付款。Hostodo美国独立日活动VPS基于KVM虚拟,NVMe阵列,1Gbps带宽,自带一个...
极光KVM创立于2018年,主要经营美国洛杉矶CN2机房、CeRaNetworks机房、中国香港CeraNetworks机房、香港CMI机房等产品。其中,洛杉矶提供CN2 GIA、CN2 GT以及常规BGP直连线路接入。从名字也可以看到,VPS产品全部是基于KVM架构的。极光KVM也有明确的更换IP政策,下单时选择“IP保险计划”多支付10块钱,可以在服务周期内免费更换一次IP,当然也可以不选择,...
搬瓦工怎么样?2021年7月最新vps套餐推荐及搬瓦工优惠码整理,搬瓦工优惠码可以在购买的时候获取一些优惠,一般来说力度都在 6% 左右。本文整理一下 2021 年 7 月最新的搬瓦工优惠码,目前折扣力度最大是 6.58%,并且是循环折扣,续费有效,可以一直享受优惠价格续费的。搬瓦工优惠码基本上可能每年才会更新一次,大家可以收藏本文,会保持搬瓦工最新优惠码更新的。点击进入:搬瓦工最新官方网站搬瓦工...