1.bash shell是大多数linux发行版本的默认shell命令解释器,但是最近爆出bash shell存在漏洞。
2.如果Bash是默认的系统shell,网络攻击者可以通过发送Web请求、secure shell、telnet会话或其它使用Bash执行脚本的程序攻击服务器和其它Unix和Linux设备。该漏洞在影响范围上与Heartbleed漏洞相当,在危险程度上也许没有Heartbleed高。
3.漏洞影响GNU Bash v1.14到v4.3,主要Linux发行版如Red Hat Enterprise Linux (v4到7)、Fedora、CentOS、Ubuntu和Debian都已经发布了补丁。但补丁尚未完全修复问题。你可以输入命令env x='() { :;}; echo vulnerable' bash -c "echo this is a test"测试你的系统是否存在漏洞,如果存在漏洞会返回“vulnerable this is a test”。
4.自己测试如下,可惜的是我的机器也存在漏洞,因为我的bash版本是4.1.2:
[tansheng@localhost ~]$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
[tansheng@localhost ~]$ /bin/sh --version
GNU bash, version 4.1.()-release (x86_64-redhat-linux-gnu)
Copyright (C) Free Software Foundation, Inc.
License GPLv3+: GNU GPL version or later <http://gnu.org/licenses/gpl.html> This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
[tansheng@localhost ~]$